Zdeno Kuzmany

**Nome do Software Vulnerável e Versões Afetadas** Mautic (versões afetadas não especificadas) **Descrição** O problema diz respeito ao acesso não autorizado a pré-visualizações de páginas não publicadas no Mautic, que poderiam ser acessadas por usuários não autenticados e potencialmente indexadas por mecanismos de busca. Isso poderia levar à divulgação não intencional de conteúdo de rascunho ou informações sensíveis. A funcionalidade de pré-visualização de páginas para conteúdo não publicado, acessível via URLs previsíveis (por exemplo, "/page/preview/1", "/page/preview/2"), carecia de verificações de autorização adequadas, permitindo que qualquer usuário não autenticado visualizasse conteúdo ainda não destinado à publicação pública. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Mautic (versões afetadas não especificadas) **Descrição** A lógica de atualização na função de atualização de aplicativos do Mautic, realizada por meio de um script de atualização, não está devidamente protegida, o que pode levar a uma situação de vulnerabilidade. No entanto, esse problema é mitigado pelo fato de que o Mautic precisa ser instalado de uma maneira específica para ficar vulnerável. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Mautic anteriores à 4.4.12 **Descrição** O problema está relacionado a uma vulnerabilidade de XSS auto-iniciada nas notificações do Mautic. Os usuários conectados estão vulneráveis a esse problema, que permite a injeção de código malicioso na notificação ao salvar painéis. **Recomendações** Atualize para o Mautic 4.4.12 para resolver o problema. Como solução temporária, considere restringir a capacidade de salvar painéis ou injetar código personalizado nas notificações até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Mautic anteriores à 3.3.5 Versões do Mautic anteriores à 4.2.0 **Descrição** O arquivo .htaccess padrão possui algumas restrições no acesso a arquivos PHP, permitindo que apenas arquivos PHP específicos sejam executados na raiz do aplicativo. No entanto, a expressão regular no segundo FilesMatch verifica apenas o nome do arquivo, e não o caminho completo, o que constitui uma lógica incorreta. Esse problema pode possibilitar ataques de host local devido a uma falha de validação inadequada. **Recomendações** Para versões do Mautic anteriores à 3.3.5, atualize para a versão 3.3.5 ou posterior. Para versões do Mautic anteriores à 4.2.0, atualize para a versão 4.2.0 ou posterior. Como solução temporária, considere restringir o acesso ao arquivo .htaccess até que um patch seja aplicado.