CVE-2025-55743

Nome do Software Vulnerável e Versões Afetadas: Versões do UnoPim anteriores à 0.2.1

Descrição: A funcionalidade de upload de imagem durante a criação de usuário realiza apenas validação de tipo de arquivo no lado do cliente. Um atacante pode modificar a extensão e o conteúdo de uma imagem carregada para executar código arbitrário no servidor. Isso permite a execução remota de código (RCE), potencialmente levando ao comprometimento total do sistema, acesso a bancos de dados e sistemas de arquivos, e acesso a outros dispositivos sensíveis na rede. A vulnerabilidade é explorável por qualquer usuário com a capacidade de alterar sua foto de perfil dentro do painel. O endpoint vulnerável é /admin/settings/users/create. O parâmetro vulnerável é image[].

Recomendações: Versões anteriores à 0.2.1: Implementar validação de extensão no lado do servidor usando uma abordagem de whitelist, utilizando a verificação endswith() em vez de contains() para prevenir bypasses.