Thorger Jansen

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** O problema diz respeito à função de votos positivos e negativos de um aplicativo, que modifica um valor em um arquivo JSON. Devido à filtragem inadequada dos parâmetros POST, um arquivo arbitrário pode ser sobrescrito. Um invasor autenticado pode controlar o arquivo, mas não seu conteúdo. A vulnerabilidade permite a sobrescrita de arquivos aos quais o servidor web tem acesso de gravação, exigindo que um caminho relativo (traversal de caminho) seja fornecido. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Software (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite a execução de XSS refletido quando a autenticação LDAP está ativada na configuração. Isso pode ser feito criando-se uma URL personalizada que, quando aberta pela vítima, executa código JavaScript arbitrário no navegador da vítima. A falha está no arquivo login.php, onde o conteúdo de `$ SERVER[‘PHP SELF’]` é refletido no HTML do site, permitindo a exploração sem a necessidade de uma conta válida. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Não são mencionados softwares ou versões específicas. **Descrição** O aplicativo não altera o token de sessão ao usar a funcionalidade de login ou logout. Um invasor pode definir um token de sessão no navegador da vítima, por exemplo, via XSS, e solicitar que a vítima faça login, resultando no comprometimento da conta da vítima. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.