9Str0Il

**Nome do Software Vulnerável e Versões Afetadas** YunaiV yudao-cloud versões anteriores a 2026.01 **Descrição** Um problema de injeção de SQL existe na função `getDataBySQL()` dentro do arquivo `yudao-module-report-biz/src/main/java/io/github/ruoyi/report/service/impl/GoViewDataServiceImpl.java`. Esta falha permite que um invasor remoto execute comandos SQL arbitrários através da manipulação de entradas. **Recomendações** Atualize para uma versão posterior a 2026.01. Como medida paliativa temporária, restrinja o acesso à função `getDataBySQL()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** YunaiV yudao-cloud versões anteriores a 2026.01 **Descrição** Uma falha de segurança permite que invasores remotos realizem uma manipulação que resulta em autenticação inadequada. Este problema afeta a função `getAccessToken()` no arquivo yudao-module-system-biz/src/main/java/io/github/ruoyi/common/oauth2/service/impl/OAuth2TokenServiceImpl.java. **Recomendações** Como medida paliativa temporária, considere restringir o acesso à função `getAccessToken()` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** YunaiV yudao-cloud versões anteriores a 3.8.1 **Descrição** Existe uma falha de bypass de autenticação no componente Ruoyi-Vue-Pro. A manipulação do argumento `mock-token` dentro da função `doFilterInternal()` do arquivo JwtAuthenticationTokenFilter.java permite a autenticação inadequada, a qual pode ser explorada remotamente. **Recomendações** Atualize para uma versão posterior à 3.8.0. Como medida paliativa temporária, restrinja ou desabilite o uso do argumento `mock-token` no componente afetado.

**Nome do Software Vulnerável e Versões Afetadas** 1000 Projects Portfolio Management System MCA versões anteriores a 1.1 **Descrição** Existe um problema no arquivo '/admin/block status.php' onde a manipulação do argumento `q` permite a ocorrência de SQL injection, uma técnica usada para interferir nas consultas que uma aplicação faz ao seu banco de dados. Este ataque pode ser iniciado remotamente. **Recomendações** Atualize para uma versão posterior a 1.0. Como medida paliativa temporária, restrinja o acesso ao arquivo '/admin/block status.php' ou evite usar o parâmetro `q` até que uma correção seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** 1000 Projects Portfolio Management System MCA versão 1.0 **Description** Um bypass de autorização existe no arquivo `update passwd process.php`. Um invasor remoto pode explorar isso manipulando o argumento `temp user`. **Recommendations** Restrinja o acesso ao arquivo `update passwd process.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.