php 2026
typo3/html-sanitizer: falha ao reconhecer tags de fechamento com variações de espaço em branco
Quando ALLOW_INSECURE_RAW_TEXT está ativado, tags de fechamento com variações de espaço em branco (ex.
typo3/cms-core: Cross-Site Scripting no plugin Indexed Search
Vulnerabilidade de Cross-Site Scripting no plugin Indexed Search: títulos de página com marcação HTML são armazenados no índice de
typo3/cms-core: Falha na verificação de permissão de leitura na área de transferência
Usuários do backend podiam inserir registros e arquivos arbitrários na área de transferência do TYPO3 sem as devidas verificações
typo3/cms-core: Falha na verificação de permissão em rotas da API do Backend permite acesso a metadados de arquivos fora dos mounts permitidos
Usuários autenticados do Backend podiam recuperar metadados de arquivos via rotas da API do Backend sem as devidas verificações de
typo3/cms-core: bypass de verificação de caminho em GeneralUtility::isAllowedAbsPath()
A verificação de caminho em GeneralUtility::isAllowedAbsPath() usava comparação de prefixo de string sem exigir um separador de di
typo3/cms-core: Cache e Registry agora validam desserialização contra Object Injection
O cache frontend (VariableFrontend) e o armazenamento persistente chave-valor (Registry) agora desserializam payloads PHP com vali
typo3/cms-core: Backend users could move records without edit permissions on source page
Backend users could move records to a different page without edit permissions on the source page.
typo3/html-sanitizer: bypass de XSS por codificação incorreta de atributos de namespace
Atributos de namespace não são codificados corretamente durante a serialização HTML, permitindo bypass do mecanismo de prevenção d
typo3/cms-core: Open redirect via GeneralUtility::sanitizeLocalUrl
Aplicações que usam GeneralUtility::sanitizeLocalUrl estão vulneráveis a ataques de redirecionamento aberto se a URL for usada apó
typo3/cms-core: Restrição de restauração no módulo Recycler corrigida
Usuários do backend com acesso ao módulo Recycler podiam restaurar registros soft-deleted em páginas ou tabelas não autorizadas.
typo3/cms-core: Vulnerabilidade de download de arquivos do armazenamento fallback no Media Module
Usuários do backend com permissões de download de arquivos podiam baixar arquivos do armazenamento fallback da camada de abstração
typo3/cms-core: bypass de upload de definições de formulário com extensões de case misto
Usuários do backend com permissões de escrita podem enviar arquivos de definição de formulário com extensões de case misto (ex.
typo3/cms-core: Bypass de validação e escalada de privilégios no Form Framework
Usuários do backend com acesso de escrita à tabela form_definition podem contornar a validação de persistência e as verificações d
typo3/cms-core: Vulnerabilidade no Form Framework permite execução de SQL arbitrária
Usuários do backend com acesso ao Form Framework podiam usar arquivos que não terminam em .
Laracon US 2026: Programação completa de palestrantes anunciada
Laracon US 2026 anunciou sua programação completa de palestrantes para 28-29 de julho em Boston, incluindo Taylor Otwell, Aaron Fr
guzzlehttp/psr7: CRLF injection via Host header in URI host components
guzzlehttp/psr7 did not reject ASCII control characters, whitespace, or DEL in first-party URI host components, allowing CRLF inje
guzzlehttp/guzzle-services: serialização insegura de valores escalares em XML com CDATA
guzzlehttp/guzzle-services não serializa com segurança valores escalares de elementos XML que contenham o terminador CDATA `]]>`,
filament/tables: validação de escopo em AttachAction e AssociateAction corrigida
O método `recordSelectOptionsQuery()` escopava as opções do campo Select em AttachAction e AssociateAction, mas a regra de validaç
CodeIgniter 4: Validação ext_in permite upload de arquivos maliciosos
A regra de validação `ext_in` usava a extensão derivada do MIME em vez da extensão fornecida pelo cliente, permitindo que arquivos
symfony/runtime: correção incompleta do CVE-2024-50340 permite manipulação de argv via query string
A correção original do CVE-2024-50340 no symfony/runtime era incompleta.
pheditor: Vulnerabilidade de Injeção de Comando no Terminal
Uma vulnerabilidade de Injeção de Comando no SO foi descoberta no manipulador de terminal do pheditor.
laravel/framework v13.12.0 lançado
Versão 13.12.0 do pacote laravel/framework publicada no Packagist.
laravel/framework v12.61.0 lançado
Lançamento da versão 12.61.0 do pacote laravel/framework no Packagist.
guzzlehttp/guzzle 7.10.5 lançado
Lançamento da versão 7.10.5 para guzzlehttp/guzzle.
symfony/http-foundation v8.1.0 lançado
Versão v8.1.0 de symfony/http-foundation foi lançada, fornecendo uma camada orientada a objetos para a especificação HTTP.
symfony/console v8.1.0: nova versão disponível
Nova versão do symfony/console v8.
guzzlehttp/guzzle 7.10.6 lançado
Versão 7.10.6 do guzzlehttp/guzzle foi lançada.
guzzlehttp/guzzle 7.11.0: nova versão disponível
Lançamento da versão 7.11.0 do guzzlehttp/guzzle.
laravel/framework v12.61.1 lançado
Versão 12.61.1 do pacote laravel/framework publicada no Packagist.
laravel/framework v13.14.0 lançado
Lançamento da versão 13.14.0 do pacote laravel/framework no Packagist.
phpunit/phpunit 13.2.0 lançado
Lançamento da versão 13.2.0 do PHPUnit, framework de teste unitário para PHP.
Laravel 13.14: JsonSchema::fromArray() e correções em filas, jobs, HTTP e mail
Adicionado JsonSchema::fromArray() para converter arrays de JSON Schema de volta em objetos Type.
shopware/platform: Escalação de privilégio via Sync API com privilégio integration:create
Um usuário não administrador da API com privilégio ACL integration:create pode escalar para administrador completo criando uma int
shopware/platform: user_recovery hash exposto via API de busca
O campo `hash` da entidade `user_recovery` é exposto pelo endpoint de busca da Admin API (`POST /api/search/user-recovery`), permi
shopware/platform: Escalação de privilégio via UserController::upsertUser()
UserController::upsertUser() grava dados de usuário em SYSTEM_SCOPE e não filtra o campo admin, permitindo que usuários da API com
shopware/platform: Vulnerabilidade de timing attack no repositório OAuth permite enumeração de administradores
Uma vulnerabilidade de timing attack foi descoberta no repositório de usuários OAuth que permite enumeração de nomes de usuário ad
shopware/platform: Admin API order state transition endpoints sem verificação ACL
Endpoints de transição de estado de pedido na Admin API estão sem verificação de privilégios ACL, permitindo que usuários com priv
shopware/platform: Falta de autorização no endpoint /store-api/handle-payment
O endpoint /store-api/handle-payment não possui autorização a nível de objeto, permitindo que um usuário com privilégios baixos ac
shopware/core: SVG não sanitizado permite XSS no gerenciador de mídia
Arquivos SVG são permitidos na lista de upload do gerenciador de mídia, mas não são sanitizados, possibilitando XSS armazenado via
shopware/core: endpoint /api/_action/media/external-link permite SSRF sem validação de IP
O endpoint `/api/_action/media/external-link` no core do Shopware permite que usuários admin autenticados façam requisições HTTP H
shopper/framework: Permissões ausentes em ações inline de tabelas administrativas
Tabelas administrativas de PaymentMethods, Currencies e Carriers expunham toggles e ações por registro sem verificação de permissã
twig/twig: HtmlDumper agora escapa nomes de template e perfil contra XSS
Twig\Profiler\Dumper\HtmlDumper agora escapa nomes de template e perfil com htmlspecialchars() antes de exibi-los em HTML.
Poweradmin v4.4.0 Vulnerável a Injeção de CSV e Exposição de Caminhos
A funcionalidade de exportação de logs do Poweradmin v4.
froxlor: Injeção de registros DNS via DomainZones.add
O endpoint DomainZones.add não sanitiza caracteres de nova linha no conteúdo de registros TXT, permitindo injeção de diretivas BIN
AVideo: AuthorizeNet processPayment sem validação permite crédito arbitrário na carteira
O endpoint `plugin/AuthorizeNet/processPayment.
wwbn/avideo: Stored XSS no sistema de mensagens WebSocket do SQLite
Vulnerabilidade de XSS armazenado no sistema de mensagens WebSocket do AVideo: o handler MessageSQLite.
AVideo YPTSocket plugin: XSS via page_title
Vulnerabilidade de XSS armazenado não autenticado via parâmetro `page_title` no plugin YPTSocket.
TinyMCE 6.8.x-7.0.x: XSS via SVG namespace bypass
TinyMCE 6.8.x through 7.0.x has an XSS vulnerability caused by improper SVG namespace scope handling in the sanitizer. Crafted nes
tinymce: vulnerabilidade de XSS armazenado via comentários mce:protected forjados
Vulnerabilidade de XSS armazenado via comentários mce:protected forjados permite que atacantes contornem a sanitização e injetem s
TinyMCE: Vulnerabilidade XSS Armazenado no Plugin de Mídia
Vulnerabilidade de XSS armazenado no plugin de mídia permite que atacantes injetem scripts maliciosos através de atributos data-mc
shopper/framework: vulnerabilidades críticas de segurança em componentes Livewire
Três defeitos de segurança em componentes Livewire do admin: IDOR via propriedades destravadas, exposição de dados sensíveis atrav
shopper/framework: correção de autorização em configurações de equipe
Duas falhas de autorização em configurações de equipe permitiam que qualquer usuário autenticado do painel assumisse o sistema RBA
twig/twig: correção de segurança na verificação de sandbox para callbacks em filtros
A restrição de sandbox para filtros que aceitam callbacks (sort, filter, map, reduce) nem sempre é aplicada ao usar uma SourcePoli
twig/twig: Bypass de segurança no sandbox via __toString()
O SandboxNodeVisitor envolvia apenas uma lista fixa de nós AST em CheckToStringNode, deixando várias construções que acionam __toS