A7Cc

**Name of the Vulnerable Software and Affected Versions** whyour qinglong versions through 2.20.1 **Description** A security issue has been identified in whyour qinglong. The problem resides in an unknown function within the `back/loaders/express.ts` file of the API Interface component. Manipulation of the `command` argument can bypass a protection mechanism. This issue can be exploited remotely, and a public exploit is available. **API Endpoint:** Not specified. **Vulnerable Parameter:** `command` **Recommendations** Versions prior to 2.20.2 should be upgraded to version 2.20.2 to address this issue.

**Nome do Software Vulnerável e Versões Afetadas** Gowabby HFish versão 0.1 **Descrição** Foi encontrado um problema crítico no Gowabby HFish, afetando a função `LoadUrl` do arquivo `viewurl.go`. A manipulação do argumento `r` resulta em autenticação inadequada. Este problema pode ser explorado remotamente. **Recomendações** Para a versão 0.1, considere desabilitar a função `LoadUrl` até que uma correção esteja disponível para prevenir autenticação inadequada. Restrinja o acesso ao arquivo `viewurl.go` para minimizar o risco de exploração. Evite usar o argumento `r` na função afetada até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** zj1983 zz versões até 2024-08 **Descrição** Uma vulnerabilidade crítica foi encontrada na função `GetUserOrg` do arquivo `com/futvan/z/framework/core/SuperZ.java`. A manipulação do argumento `userId` resulta em injeção de SQL. É possível executar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado previamente sobre esta divulgação, mas não respondeu de nenhuma forma. **Recomendações** Como medida temporária, considere desabilitar a função `GetUserOrg` até que um patch esteja disponível. Restrinja o acesso ao arquivo `com/futvan/z/framework/core/SuperZ.java` para minimizar o risco de exploração. Evite utilizar o argumento `userId` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** pbrong hrms versões 1.0.0 até 1.0.1 **Descrição** Uma vulnerabilidade crítica foi encontrada no pbrong hrms, afetando a função `HrmsDB` do arquivo `resourceresource.go`. A manipulação do argumento `user cookie` leva à autorização imprópria. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para as versões 1.0.0 até 1.0.1, considere desativar a função `HrmsDB` ou restringir o acesso ao arquivo `resourceresource.go` até que um patch esteja disponível. Como solução temporária, evite usar o argumento `user cookie` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** IBOS versão 4.5.5 **Descrição** O problema está relacionado a uma vulnerabilidade que permite a exclusão arbitrária de arquivos. Ela afeta o arquivo `LoginController.php`, localizado em `systemmodulesdashboardcontrollers`. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para a versão 4.5.5 do IBOS, aplique a correção imediatamente e monitore atividades suspeitas. Restrinja o acesso à rede local, se necessário.