Xs1Kveroa

**Nome do Software Vulnerável e Versões Afetadas** Dokploy versões anteriores a 0.28.9 **Description** Dokploy é uma Plataforma como Serviço (PaaS) gratuita e auto-hospedável. Uma injeção de comando de SO autenticada existe no endpoint WebSocket '/listen-deployment', que permite que qualquer membro da organização execute comandos de sistema arbitrários em servidores remotos gerenciados pela plataforma, podendo levar ao comprometimento total do servidor. **Recommendations** Atualize para uma versão posterior a 0.28.8. Como medida paliativa temporária, restrinja o acesso ao endpoint WebSocket '/listen-deployment' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Dokploy versões anteriores a 0.28.9 **Descrição** Dokploy é uma Plataforma como Serviço (PaaS) gratuita e auto-hospedável. Uma injeção de comando de SO existe no endpoint tRPC 'application.updateTraefikConfig', que permite que usuários autenticados com privilégios de administrador ou proprietário executem comandos de sistema arbitrários em servidores remotos. Isso ocorre devido à interpolação de shell echo não sanitizada. **Recomendações** Atualize para uma versão posterior a 0.28.8.

**Nome do Software Vulnerável e Versões Afetadas** ProFTPD versões anteriores a 1.3.9a 7666224 **Descrição** Um problema de injeção de SQL existe na função `sqltab fetch clients cb()` em `contrib/mod wrap2 sql.c`. Quando a configuração "UseReverseDNS on" está habilitada, um invasor remoto pode injetar comandos SQL arbitrários por meio de um nome de domínio manipulado durante uma consulta de DNS reverso, pois o nome do host fornecido pelo invasor é passado para as consultas SQL sem a devida sanitização. A exploração deste problema pode ser afetada pelas restrições de caracteres inerentes aos nomes de DNS. **Recomendações** Atualize para a versão 1.3.9a 7666224 ou posterior. Desabilite a configuração "UseReverseDNS" para evitar o processamento de consultas de DNS reverso.