Trexnegro

**Name of the Vulnerable Software and Affected Versions** Webkul Krayin CRM versões 2.2.x **Description** Um problema de upload arbitrário de arquivos autenticado existe no endpoint '/admin/tinymce/upload'. Isso permite que atacantes autenticados façam o upload de um arquivo PHP manipulado, o que pode levar à execução remota de código e ao comprometimento total do sistema. Estima-se que aproximadamente 2.700 serviços sejam afetados em todo o mundo. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Restrinja o acesso ao endpoint '/admin/tinymce/upload' para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Webkul Krayin CRM versões 2.2.x **Description** Um Server-Side Request Forgery (SSRF) existe no componente '/settings/webhooks/create'. Isso permite que atacantes façam a varredura de recursos internos enviando uma requisição POST especialmente elaborada. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Krayin CRM versões 2.2.x **Description** A injeção de SQL é possível através do parâmetro `rotten lead` no endpoint '/Lead/LeadDataGrid.php'. A injeção de SQL é um tipo de falha que permite que um invasor interfira nas consultas que uma aplicação faz ao seu banco de dados. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Webkul Krayin CRM versões 2.2.x **Description** Uma Broken Object-Level Authorization (BOLA) existe no endpoint '/Settings/UserController.php'. Isso permite que atacantes autenticados redefinam senhas de usuários arbitrariamente e realizem a tomada total de conta ao enviar uma requisição HTTP manipulada. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Webkul Krayin CRM versões 2.2.x **Description** Uma Broken Object-Level Authorization (BOLA) existe no endpoint '/Controllers/Lead/LeadController.php'. Isso permite que atacantes autenticados leiam, modifiquem e excluam permanentemente qualquer lead de outros usuários ao enviar uma requisição GET manipulada. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Webkul Krayin CRM versões 2.2.x **Description** Um problema de Broken Object-Level Authorization (BOLA) existe no endpoint '/Contact/Persons/PersonController.php'. Isso permite que atacantes autenticados leiam, modifiquem e excluam permanentemente qualquer contato pertencente a outros usuários ao fornecer uma requisição GET manipulada. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Snipe-IT versão 8.4.0 **Description** Uma autorização inadequada no endpoint '/api/v1/users/{id}' permite que atacantes autenticados com a permissão `users.edit` modifiquem campos sensíveis de autenticação e estado de conta de outros usuários não administradores através do envio de uma requisição PUT manipulada. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.