Arongmho

**Nome do software vulnerável e versões afetadas** Jfinal CMS versão 5.1.0 **Descrição** A vulnerabilidade permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto `keyword` do módulo de publicação de blog. **Recomendações** Para o Jfinal CMS versão 5.1.0, considere restringir o acesso ao módulo de publicação de blog até que uma correção esteja disponível. Como solução temporária, evite usar o campo de texto `keyword` no módulo de publicação de blog para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Jfinal CMS versão 5.1.0 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL no Jfinal CMS por meio do parâmetro `attrVal` no endpoint da API “/jfinal cms/system/dict/list”. Isso permite uma possível exploração. **Recomendações** Para o Jfinal CMS versão 5.1.0, considere restringir o acesso ao endpoint da API “/jfinal cms/system/dict/list” para minimizar o risco de exploração. Evite usar o parâmetro `attrVal` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.