Aibot888

**Nome do Software Vulnerável e Versões Afetadas** Versões do YunaiV yudao-cloud anteriores a 2025.09 **Descrição** Existe uma falha no YunaiV yudao-cloud que pode resultar em autorização inadequada. Este problema está relacionado ao componente HTTP Request Handler e ao arquivo `/crm/contact/transfer`. O argumento `contactId` pode ser manipulado para desencadear o problema. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** versões do yangzongzhuan RuoYi até a 4.8.1 **Descrição** Existe uma falha de segurança no yangzongzhuan RuoYi. O problema envolve autorização inadequada devido à manipulação do argumento `userIds` no arquivo '/system/role/authUser/selectAll'. Isso permite exploração remota. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores à 4.8.1 devem ser utilizadas.

**Name of the Vulnerable Software and Affected Versions** YunaiV ruoyi-vue-pro versions up to 2025.09 **Description** A flaw exists in YunaiV ruoyi-vue-pro up to version 2025.09, related to improper authorization. The issue is located in an unspecified part of the `/crm/business/transfer` file and can be exploited remotely. The exploit is publicly available. The vendor was notified but did not respond. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** versões do roncoo-pay anteriores a 9428382af21cd5568319eae7429b7e1d0332ff40 **Descrição** Existe uma falha no roncoo-pay na qual a manipulação de uma função desconhecida dentro do arquivo `/user/info/lookupList` pode levar a uma autorização inadequada. Esta falha pode ser explorada remotamente. O exploit foi divulgado publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: YunaiV ruoyi-vue-pro versions prior to 2025.09 Description: A flaw exists in YunaiV ruoyi-vue-pro that allows for improper authorization. The issue is related to the manipulation of the `ids`/`newOwnerUserId` argument within an unknown function of the file `/crm/contact/transfer`. This manipulation can be performed remotely. The exploit has been published. Recommendations: Update YunaiV ruoyi-vue-pro to version 2025.09 or later. As a temporary workaround, restrict access to the `/crm/contact/transfer` file. Avoid using the `ids` and `newOwnerUserId` arguments in the `/crm/contact/transfer` endpoint until the issue is resolved.

Nome do Software Vulnerável e Versões Afetadas: linlinjava litemall versões até a 1.8.0 Descrição: Existe uma vulnerabilidade no linlinjava litemall até a versão 1.8.0. O problema afeta a função `WxAftersaleController` dentro do arquivo `/wx/aftersale/cancel`. A manipulação do argumento `ID` pode levar a uma autorização inadequada. Esta questão pode ser explorada remotamente. O exploit foi disponibilizado publicamente. O fornecedor foi contatado, mas não respondeu. Recomendações: Versões anteriores a 1.8.0 devem ser utilizadas. Como solução temporária, restrinja o acesso ao arquivo `/wx/aftersale/cancel` para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do JeecgBoot anteriores à 3.8.2 Descrição: Existe uma vulnerabilidade no JeecgBoot relacionada à autorização inadequada no componente Manipulador de Mensagens WebSocket. O problema está associado ao endpoint da API `/api/system/sendWebSocketMsg` e à manipulação do parâmetro `userIds`. Isso permite exploração remota. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. O exploit está publicamente disponível. Recomendações: Atualize o JeecgBoot para uma versão posterior à 3.8.2. Restrinja o acesso ao endpoint da API `/api/system/sendWebSocketMsg`. Evite utilizar o parâmetro `userIds` no endpoint da API afetado até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: Versões do iteachyou Dreamer CMS até a 4.1.3.2 Descrição: Existe uma vulnerabilidade no iteachyou Dreamer CMS relacionada a requisitos de senha fracos durante algum processamento desconhecido do arquivo `/admin/user/updatePwd`. A exploração remota é possível, mas requer um alto grau de complexidade e é classificada como difícil. O exploit está publicamente disponível. O fornecedor foi contatado sobre esta questão, mas não respondeu. Recomendações: Atualize o iteachyou Dreamer CMS para uma versão superior à 4.1.3.2.

Nome do Software Vulnerável e Versões Afetadas: versões do roncoo-pay anteriores a 9428382af21cd5568319eae7429b7e1d0332ff40 Descrição: Existe uma vulnerabilidade no roncoo-pay que permite manipulação direta de requisição. O problema está relacionado ao arquivo `/auth/orderQuery` e a uma função desconhecida dentro dele. A exploração envolve manipular o argumento `orderNo`. O ataque pode ser realizado remotamente e é considerado difícil de explorar. O exploit foi divulgado publicamente. Recomendações: Atualize o roncoo-pay para uma versão anterior a 9428382af21cd5568319eae7429b7e1d0332ff40.

Nome do Software Vulnerável e Versões Afetadas: YunaiV yudao-cloud versões anteriores a 2025.09 Descrição: Existe uma vulnerabilidade no YunaiV yudao-cloud que pode levar a uma autorização inadequada. O problema afeta uma parte desconhecida do arquivo `/crm/business/transfer`. A manipulação do argumento `ids/newOwnerUserId` pode ser explorada remotamente. O exploit foi disponibilizado publicamente. O fornecedor foi contatado, mas não respondeu. Recomendações: Versões anteriores a 2025.09: Corrija a autorização inadequada revisando e protegendo cuidadosamente o arquivo `/crm/business/transfer` e o argumento `ids/newOwnerUserId`.

**Nome do Software Vulnerável e Versões Afetadas** YunaiV ruoyi-vue-pro versões anteriores a 2025.09 **Descrição** Ocorre uma autorização inadequada no arquivo '/crm/contract/transfer' devido à manipulação dos argumentos `id` e `newOwnerUserId`. Isso permite a exploração remota do sistema. **Recomendações** Atualize para uma versão lançada após 2025.09. Como medida paliativa temporária, restrinja o acesso ao endpoint '/crm/contract/transfer' para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: YunaiV yudao-cloud versões anteriores a 2025.09 Descrição: Existe uma vulnerabilidade no YunaiV yudao-cloud que afeta o processamento do arquivo `/crm/receivable/submit`. A manipulação do argumento `ID` resulta em autorização inadequada, e o ataque pode ser executado remotamente. O exploit está disponível publicamente. O fornecedor foi contatado, mas não respondeu. Recomendações: Versões anteriores a 2025.09: Corrigir a autorização inadequada relacionada à manipulação do argumento `ID` no processamento do arquivo `/crm/receivable/submit`.

**Name of the Vulnerable Software and Affected Versions** elunez eladmin version 1.1 **Description** A security flaw exists in the `deleteFile` function of the `LocalStorageController` component, resulting in improper authorization. The issue is remotely exploitable and has been publicly disclosed. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** plataforma fuyang lipengjun versão 1.0.0 **Descrição** Existe uma vulnerabilidade na função AdController do arquivo /ad/queryAll, resultando em autorização inadequada. A falha é explorável remotamente e o exploit está disponível publicamente. **Recomendações** Como solução temporária, considere restringir o acesso à função `AdController` até que uma correção esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Onyx versions up to 0.29.1 **Description** A critical issue has been identified in Onyx, potentially allowing for SQL injection. This occurs through manipulation of the `generate simple sql` function within the `backend/onyx/agents/agent search/kb search/nodes/a3 generate simple sql.py` file of the Chat Interface component. The attack can be initiated remotely. The exploit has been publicly disclosed. **Recommendations** Versions prior to 0.29.1 are affected. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: hitzs-ids airda versão 0.0.3 Descrição: Existe uma vulnerabilidade crítica na função `execute` do arquivo `/v1/chat/completions`. A manipulação do argumento `question` resulta em injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Recomendações: Para hitsz-ids airda versão 0.0.3, evite usar o parâmetro `question` no endpoint da API `/v1/chat/completions` até que o problema seja resolvido.