CVE-2020-26679

**Nome do software vulnerável e versões afetadas:

vFairs versão 3.3

Descrição:

A vulnerabilidade permite que qualquer usuário conectado modifique as informações de perfil ou a foto de perfil de outros usuários em uma conferência ou evento virtual do vFairs. Ao obter o número de identificação único de um usuário e o seu próprio, um invasor pode fazer uma solicitação HTTP POST para atualizar a descrição do perfil ou fornecer uma nova imagem de perfil. Isso poderia levar a possíveis ataques de cross-site scripting contra qualquer usuário ou permitir o upload de webshells PHP maliciosos como “fotos de perfil”. Os IDs dos usuários podem ser facilmente determinados a partir de outras respostas da API para um evento ou sala de bate-papo.

Recomendações:

Para a versão 3.3 do vFairs, considere restringir o acesso aos recursos de modificação de perfil até que uma correção adequada seja implementada para impedir alterações não autorizadas. Como solução temporária, restrinja a capacidade de atualizar descrições de perfil ou fazer upload de novas imagens de perfil para minimizar o risco de exploração.