Trixterthetux

**Name of the Vulnerable Software and Affected Versions** Laravel versions prior to 11.44.1 Laravel versions prior to 12.1.1 **Description** Laravel is a web application framework. When using wildcard validation to validate a given file or image field (`files.*`), a user-crafted malicious request could potentially bypass the validation rules. **Recommendations** For versions prior to 11.44.1, update to version 11.44.1 or later. For versions prior to 12.1.1, update to version 12.1.1 or later. As a temporary workaround, consider restricting the use of wildcard validation for file or image fields until a patch is available.

**Nome do software vulnerável e versões afetadas** Versões do Smarty anteriores à versão mais recente da v4 ou v5 Smarty versão 3.x **Descrição** A vulnerabilidade permite que os autores de modelos injetem código PHP ao escolher um nome de arquivo malicioso para uma tag `extends`. Isso representa um risco para sites que não podem confiar totalmente nos autores de modelos. Recomenda-se que todos os usuários atualizem o software. **Recomendações** Para a versão 3.x do Smarty: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Para versões do Smarty anteriores à versão mais recente v4 ou v5: Atualize para a versão mais recente do Smarty v4 ou v5 o mais rápido possível.

**Nome do software vulnerável e versões afetadas** Versões do Pterodactyl Wings anteriores à 1.11.12 **Descrição** A vulnerabilidade permite que um invasor obtenha acesso arbitrário de leitura e gravação de arquivos em um nó caso o token do Wings seja divulgado, seja ao visualizar a configuração do nó ou ao publicá-la acidentalmente em algum lugar. **Recomendações** Para versões anteriores à 1.11.12, atualize para a versão 1.11.12 para resolver o problema. Como solução alternativa temporária para usuários que não possam atualizar, habilite a opção `ignore panel config updates`.

**Nome do software vulnerável e versões afetadas** Versões do Pterodactyl anteriores à 1.11.6 **Descrição** A importação de um egg malicioso ou o acesso a uma instância do Wings pode levar a um ataque de cross-site scripting (XSS) no painel, permitindo potencialmente que um invasor obtenha uma conta de administrador. Os componentes afetados incluem imagens do Egg Docker e variáveis do Egg: `Name`, `Environment variable`, `Default value`, `Description` e `Validation rules`. Esta vulnerabilidade requer que um administrador execute ações específicas e não pode ser acionada por um usuário comum do painel. **Recomendações** Para versões anteriores à 1.11.6, atualize para a versão 1.11.6 para resolver o problema. Não há solução alternativa disponível além da atualização para a versão mais recente do painel. Como medida temporária, considere restringir o acesso às imagens Docker do Egg e às variáveis do Egg para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Pterodactyl Wings anteriores à 1.11.2 Descrição: Um usuário autenticado com acesso a um servidor de jogos pode contornar o controle de acesso implementado anteriormente, podendo acessar recursos em redes locais que, de outra forma, seriam inacessíveis. Essa vulnerabilidade permite que usuários mal-intencionados acessem pontos de extremidade internos do nó que hospeda o Wings no ponto de extremidade de pull. O número estimado de dispositivos potencialmente afetados não foi especificado. Recomendações: Para versões anteriores à 1.11.2, atualize para a versão 1.11.2 ou posterior para resolver o problema. Como solução alternativa temporária para usuários que não possam atualizar, habilite a opção `api.disable remote download`.