Thien225409

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões anteriores a 9.5.1 **Descrição** A Execução Remota de Código (RCE) é possível devido à desserialização insegura no controlador de bloco `ExpressEntryList`. Um administrador com permissões para adicionar blocos pode ignorar o mecanismo de proteção ` fromCIF === true` utilizando a API REST. Como a API REST utiliza `json decode()`, a string "true" é interpretada como um Booleano(true) do PHP, permitindo a injeção de um payload serializado malicioso na coluna `filterFields` do banco de dados. Esse payload é executado quando um administrador visualiza ou edita os dados do bloco, podendo levar ao controle total do servidor. **Recomendações** Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja os privilégios de administrador para evitar que usuários não autorizados adicionem blocos a áreas até que a atualização seja aplicada.

Name of the Vulnerable Software and Affected Versions Ajenti versões anteriores a 2.2.15 Description Um usuário autenticado com o plugin `auth users` poderia instalar um pacote personalizado mesmo sem privilégios de superusuário. Recommendations Atualize para a versão 2.2.15.