Afeng2016-So

**Name of the Vulnerable Software and Affected Versions** Perfree PerfreeBlog version 3.1.2 **Description** An issue in Perfree PerfreeBlog allows a remote attacker to execute arbitrary code via a crafted plugin listed in "admin/plugin/access/list". **Recommendations** For Perfree PerfreeBlog version 3.1.2, consider disabling the plugin functionality until a patch is available to prevent remote code execution. Restrict access to the "admin/plugin/access/list" endpoint to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** pf4j versions 3.9.0 and earlier **Description** An issue in pf4j allows a remote attacker to obtain sensitive information and execute arbitrary code via the `zippluginPath` parameter. **Recommendations** For pf4j versions 3.9.0 and earlier, consider restricting access to the `zippluginPath` parameter to minimize the risk of exploitation until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Newbee-Mall versão 1.0.0 **Descrição** Uma vulnerabilidade de cross-site scripting permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro `goodsName` no endpoint da API “/admin/goods/update”. **Recomendações** Para o Newbee-Mall versão 1.0.0, evite usar o parâmetro `goodsName` no endpoint da API “/admin/goods/update” até que a vulnerabilidade seja resolvida. Considere validar e sanitizar as entradas do usuário para prevenir cargas maliciosas.

**Nome do software vulnerável e versões afetadas** Newbee-Mall versão 1.0.0 **Descrição** A vulnerabilidade permite o upload arbitrário de arquivos por meio da função `Upload` no endpoint da API “/admin/goods/edit”. **Recomendações** Para o Newbee-Mall versão 1.0.0, considere desativar a função `Upload` no endpoint “/admin/goods/edit” até que uma correção esteja disponível para impedir a exploração.

**Nome do software vulnerável e versões afetadas** DoraCMS versão 2.1.8 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) armazenada no componente /admin/contenttemp permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa. **Recomendações** Para o DoraCMS versão 2.1.8, considere desativar o acesso ao componente /admin/contenttemp até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de XSS armazenada.

**Nome do software vulnerável e versões afetadas** TMS versão 2.28.0 **Descrição** Foi detectada uma vulnerabilidade de cross-site scripting (XSS) no componente /TMS/admin/setting/mail/createorupdate. **Recomendações** Para a versão 2.28.0 do TMS, atualize para uma versão que inclua uma correção para esta vulnerabilidade, uma vez que não há solução alternativa específica disponível para esta versão.

**Nome do software vulnerável e versões afetadas** TMS versão 2.28.0 **Descrição** O problema está relacionado a permissões inseguras no componente “/TMS/admin/user/Update2”. Isso permite que invasores modifiquem a conta e a senha do administrador. **Recomendações** Para a versão 2.28.0 do TMS, considere restringir o acesso ao componente “/TMS/admin/user/Update2” até que uma correção esteja disponível para impedir a modificação da conta e da senha do administrador.

**Nome do software vulnerável e versões afetadas** OneBlog versões 2.2.8 e anteriores **Descrição** A falha permite que administradores de nível inferior excluam administradores de nível superior, ultrapassando seus limites de autoridade, devido a permissões inseguras. **Recomendações** Para as versões 2.2.8 e anteriores do OneBlog, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.