0Kooo

**Nome do software vulnerável e versões afetadas** Versões do skyselang yylAdmin até a 3.0 **Descrição** Foi identificada uma falha crítica no componente Backend, especificamente na lista de funções do arquivo /app/admin/controller/file/File.php. A manipulação do argumento `is disable` leva a uma injeção de SQL. Essa falha pode ser explorada remotamente. **Recomendações** Para versões até 3.0, considere restringir o acesso à lista de funções vulneráveis no arquivo /app/admin/controller/file/File.php até que um patch esteja disponível. Como solução temporária, evite usar o argumento `is disable` na função afetada para minimizar o risco de injeção de SQL.

Nome do software vulnerável e versões afetadas: Versões do Mini-Tmall até 20240901 Descrição: Foi detectada uma falha crítica na função `rewardMapper.select` do arquivo `tmall/admin/order/1/1`. A manipulação do argumento `orderBy` leva a uma injeção de SQL. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. Recomendações: Para as versões do Mini-Tmall até 20240901, como solução temporária, considere desativar a função `rewardMapper.select` até que um patch esteja disponível. Restrinja o acesso ao arquivo `tmall/admin/order/1/1` para minimizar o risco de exploração. Evite usar o argumento `orderBy` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do OpenRapid RapidCMS até a 1.3.1 Descrição: Foi identificada uma falha crítica no OpenRapid RapidCMS, afetando o arquivo /admin/user/user-move-run.php. A manipulação do argumento `username` leva a uma injeção de SQL. É possível iniciar o ataque remotamente. A exploração já foi divulgada ao público e pode estar em uso. Recomendações: Para as versões do OpenRapid RapidCMS até a 1.3.1, como solução temporária, considere restringir o acesso ao arquivo /admin/user/user-move-run.php até que um patch esteja disponível. Evite usar o argumento `username` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do OpenRapid RapidCMS anteriores à 1.3.1 Descrição: Foi detectada uma falha crítica no OpenRapid RapidCMS. O problema reside em uma função desconhecida do arquivo /resource/runlogon.php. A manipulação do argumento `username` leva a uma injeção de SQL. É possível lançar o ataque remotamente. Recomendações: Para versões anteriores à 1.3.1, como solução temporária, considere desativar a função desconhecida no arquivo /resource/runlogon.php até que um patch esteja disponível. Restrinja o acesso ao arquivo /resource/runlogon.php para minimizar o risco de exploração. Evite usar o argumento `username` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do FeehiCMS até a 2.1.1 Descrição: Foi identificada uma falha crítica no FeehiCMS, que afeta a função `createBanner` do arquivo `/admin/index.php?r=banner%2Fbanner-create`. A manipulação do argumento `BannerForm[img]` leva ao upload irrestrito. Esta vulnerabilidade pode ser explorada remotamente. A exploração já foi divulgada ao público e pode estar em uso. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para versões do FeehiCMS até a 2.1.1, como solução temporária, considere desativar a função `createBanner` até que um patch esteja disponível. Restrinja o acesso ao endpoint `/admin/index.php?r=banner%2Fbanner-create` para minimizar o risco de exploração. Evite usar o argumento `BannerForm[img]` no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do FeehiCMS até a 2.1.1 Descrição: Foi identificada uma vulnerabilidade crítica no FeehiCMS, afetando a função de atualização do arquivo /admin/index.php?r=friendly-link%2Fupdate. A manipulação do argumento `FriendlyLink[image]` permite o upload irrestrito. É possível iniciar o ataque remotamente. Recomendações: Para versões do FeehiCMS até a 2.1.1, como solução temporária, considere desativar a função de atualização do arquivo /admin/index.php?r=friendly-link%2Fupdate até que um patch esteja disponível. Restrinja o acesso ao argumento `FriendlyLink[image]` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do FeehiCMS até a 2.1.1 Descrição: Uma vulnerabilidade crítica afeta a função `insert` do arquivo `/admin/index.php?r=user%2Fcreate`. A manipulação do argumento `User[avatar]` leva a um upload irrestrito. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. Recomendações: Para versões do FeehiCMS até 2.1.1, considere desativar a função `insert` no arquivo `/admin/index.php?r=user%2Fcreate` para impedir o upload irrestrito até que um patch esteja disponível. Restrinja o acesso ao argumento `User[avatar]` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZZCMS versão 2023 **Descrição** Foi encontrada uma vulnerabilidade crítica no ZZCMS 2023, afetando código desconhecido no arquivo /I/list.php. A manipulação do argumento `skin` leva a um ataque de traversal de caminho. Esta vulnerabilidade pode ser explorada remotamente. O código de exploração já foi divulgado ao público e pode estar em uso. **Recomendações** Como solução temporária, considere restringir o acesso ao arquivo /I/list.php até que um patch esteja disponível. Evite usar o argumento `skin` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZZCMS versão 2023 **Descrição** Foi identificada uma vulnerabilidade crítica no ZZCMS, afetando uma funcionalidade desconhecida do arquivo “/admin/class.php?dowhat=modifyclass”. A manipulação do argumento `skin[]` leva a um ataque de traversal de caminho. O ataque pode ser executado remotamente. **Recomendações** Para o ZZCMS versão 2023, como solução temporária, considere restringir o acesso ao endpoint “/admin/class.php?dowhat=modifyclass” até que uma correção esteja disponível. Evite usar o argumento `skin[]` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZZCMS versão 2023 **Descrição** Foi encontrada uma vulnerabilidade crítica no ZZCMS. O problema afeta uma função desconhecida do arquivo /admin/about edit.php?action=modify. A manipulação do argumento `skin` leva a um traversal de caminho. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o ZZCMS versão 2023, como solução temporária, considere restringir o acesso ao endpoint /admin/about edit.php?action=modify até que um patch esteja disponível. Além disso, evite usar o argumento `skin` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZZCMS versão 2023 **Descrição** Um problema afeta um processamento não identificado do arquivo 3/E bak5.1/upload/eginfo.php. A manipulação do argumento `phome` com a entrada `ShowPHPInfo` leva à divulgação de informações. O ataque pode ser iniciado remotamente. **Recomendações** Como solução temporária, considere restringir o acesso ao arquivo 3/E bak5.1/upload/eginfo.php até que um patch esteja disponível. Evite usar o argumento `phome` com a entrada `ShowPHPInfo` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.