Yc_Infosec

Nome do Software Vulnerável e Versões Afetadas: Themeum Tutor LMS versões até a 3.7.4 Descrição: O Themeum Tutor LMS é suscetível a uma falha de injeção de SQL devido à neutralização inadequada de elementos especiais dentro de comandos SQL. Isso permite potenciais ataques de injeção de SQL. Recomendações: Atualize o Themeum Tutor LMS para uma versão superior à 3.7.4.

**Nome do software vulnerável e versões afetadas** Hamed Naderfar Compute Links, versões 1.2.1 e anteriores **Descrição** O problema está relacionado ao controle inadequado dos nomes de arquivos nas instruções Include/Require em programas PHP, permitindo a inclusão remota de arquivos PHP. Isso possibilita a inclusão de arquivos PHP remotos. **Recomendações** Para as versões 1.2.1 e anteriores, considere desativar a funcionalidade das instruções Include/Require até que um patch esteja disponível. Restrinja o acesso a arquivos PHP vulneráveis para minimizar o risco de exploração. Evite usar nomes de arquivos vulneráveis nas instruções Include/Require até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Squeeze de n/a a 1.4 **Descrição** O problema está relacionado a uma vulnerabilidade de “Upload irrestrito de arquivos de tipo perigoso”, que permite a injeção de código. Essa vulnerabilidade afeta o software Squeeze e pode ser explorada para injetar código. **Recomendações** Para as versões do Squeeze de n/a a 1.4, atualize para uma versão que corrija este problema, pois a versão atual permite uploads de arquivos sem restrições, o que pode levar à injeção de código. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Upunzipper de n/a a 1.0.0 **Descrição** A vulnerabilidade afeta o Upunzipper, de autoria de Ravidhu Dissanayake, permitindo a traversal de caminho e a manipulação de arquivos devido a uma limitação inadequada do nome do caminho para um diretório restrito. Isso possibilita o acesso não autorizado e a manipulação de arquivos. **Recomendações** Para as versões do Upunzipper de n/a a 1.0.0, considere restringir o acesso a diretórios e arquivos confidenciais para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, evite usar o Upunzipper para operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** BuddyPress Cover, versões 2.1.4.2 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de upload irrestrito de arquivos de tipo perigoso, que permite a injeção de código. Essa vulnerabilidade afeta o plugin BuddyPress Cover. **Recomendações** Para as versões 2.1.4.2 e anteriores, atualize para uma versão posterior à 2.1.4.2 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Strategery Migrations, versões n/a a 1.0 **Descrição** A vulnerabilidade afeta o Strategery Migrations, permitindo a traversal de caminho e a manipulação de arquivos devido a uma limitação inadequada do nome do caminho para um diretório restrito. **Recomendações** Para as versões n/a a 1.0, considere restringir o acesso a diretórios e arquivos confidenciais para minimizar o risco de traversal de caminho e manipulação de arquivos até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MelaPress Login Security, versões 1.3.0 e anteriores **Descrição** O problema está relacionado a um controle inadequado do nome do arquivo nas instruções `include`/`require` em programas PHP, também conhecido como “Inclusão Remota de Arquivos PHP”. Isso permite a inclusão remota de arquivos PHP no MelaPress Login Security. **Recomendações** Para as versões 1.3.0 e anteriores, atualize para uma versão posterior à 1.3.0 para resolver o problema. Como solução temporária, considere restringir o acesso às instruções `include` ou `require` vulneráveis em programas PHP até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Siteclean SC filechecker, versões n/a a 0.6 **Descrição** O problema está relacionado a uma limitação inadequada do caminho de acesso a um diretório restrito, também conhecida como vulnerabilidade de “traversal de caminho”, no Siteclean SC filechecker. Essa vulnerabilidade permite o traversal de caminho e a manipulação de arquivos. **Recomendações** Para as versões n/a a 0.6, considere restringir o acesso a diretórios e arquivos confidenciais para minimizar o risco de exploração até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Easy Digital Downloads – Recent Purchases, versões 1.0.2 e anteriores **Descrição** O problema está relacionado ao controle inadequado do nome do arquivo nas instruções include/require do programa PHP, também conhecido como “Inclusão Remota de Arquivos PHP”. Isso permite a inclusão remota de arquivos PHP no Easy Digital Downloads – Recent Purchases da Wow-Company. **Recomendações** Para as versões 1.0.2 e anteriores, atualize para uma versão posterior à 1.0.2 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Woocommerce – Compras recentes, versões 1.0.1 e anteriores **Descrição** O problema está relacionado a uma limitação inadequada do caminho de acesso a um diretório restrito, também conhecida como “Path Traversal”, o que permite a inclusão de arquivos locais em PHP. Isso significa que um invasor poderia, potencialmente, acessar arquivos fora do diretório pretendido manipulando o caminho de acesso. **Recomendações** Para as versões 1.0.1 e anteriores, atualize para uma versão que corrija este problema, pois o uso da versão atual pode permitir o acesso não autorizado a arquivos locais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.