Weikang Fu

Nome do software vulnerável e versões afetadas: PHPVibe versão 11.0.46 Descrição: Foi identificada uma falha no componente Página de Opções Globais, especificamente no arquivo functionalities.global.php. A manipulação do argumento `site-logo-text` leva a um ataque de cross-site scripting. Essa falha pode ser explorada remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para a versão 11.0.46 do PHPVibe, como solução temporária, considere restringir o acesso à Página de Opções Globais ou desativar a manipulação do argumento `site-logo-text` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: PHPVibe versão 11.0.46 Descrição: Foi identificada uma falha crítica no componente “Página de envio de mídia”, especificamente no arquivo /app/uploading/upload-mp3.php. A manipulação do argumento `file` permite o envio irrestrito de arquivos. Essa falha pode ser explorada remotamente. A exploração já foi divulgada publicamente. Recomendações: Para a versão 11.0.46 do PHPVibe, como solução temporária, considere desativar a funcionalidade de upload de arquivos na Página de Upload de Mídia até que um patch esteja disponível. Restrinja o acesso ao arquivo /app/uploading/upload-mp3.php para minimizar o risco de exploração. Evite usar o argumento `file` na funcionalidade de upload afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.