Ufo009Eo

**Nome do software vulnerável e versões afetadas** HashBrown CMS versões 1.3.3 e anteriores **Descrição** Foi descoberta uma vulnerabilidade de execução remota de código. O arquivo `Server/Entity/Deployer/GitDeployer.js` contém uma chamada `Service.AppService.exec` que processa incorretamente os parâmetros `URL`, `repository`, `username` e `password`. **Recomendações** Para as versões 1.3.3 e anteriores do HashBrown CMS, considere desativar o arquivo `GitDeployer.js` ou restringir seu uso até que uma correção esteja disponível. Evite usar a chamada `Service.AppService.exec` com entradas não confiáveis para as variáveis `URL`, `repository`, `username` e `password`. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do HashBrown CMS até a 1.3.3 **Descrição** Foi detectada uma falha de escalonamento de privilégios na função postUser. Isso permite que um usuário com privilégios de editor altere o hash da senha da conta de um usuário administrador ou reconfigure a conta. **Recomendações** Para as versões do HashBrown CMS até a 1.3.3, considere restringir o acesso à função postUser até que uma correção esteja disponível. Como solução temporária, limite os privilégios dos usuários editores para impedir que eles modifiquem contas de administrador.