CVE-2025-55744

Nome do Software Vulnerável e Versões Afetadas: Versões do UnoPim anteriores à 0.2.1

Descrição: O UnoPim, um sistema de Gerenciamento de Informações do Produto (PIM) de código aberto construído sobre o framework Laravel, está suscetível a ataques de Falsificação de Solicitação Entre Sites (CSRF). Determinados endpoints carecem de proteção CSRF adequada, permitindo que um atacante execute operações que alteram o estado em nome de uma vítima autenticada. Especificamente, os endpoints /admin/catalog/products/copy/{id}, /admin/catalog/products/edit/{id}, /admin/catalog/categories/create, /admin/catalog/categories/edit/{id}, /admin/catalog/category-fields/create, /admin/catalog/category-fields/edit/{id}, /admin/catalog/attributes/create e /admin/catalog/attributes/edit/{id} estão vulneráveis. A aplicação utiliza o cabeçalho X-XSRF-TOKEN para alguns endpoints, mas ele está ausente em outros. A vulnerabilidade ocorre porque as solicitações POST vulneráveis não exigem o cabeçalho X-XSRF-TOKEN e utilizam tipos de conteúdo application/x-www-form-urlencoded ou multipart/form-data, combinados com o envio de cookies devido ao atributo samesite estar definido como None.