Aw220

**Nome do software vulnerável e versões afetadas** MCMS versão 5.2.5 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL por meio do parâmetro `categoryId` no arquivo IContentDao.xml. Isso permite uma possível exploração. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para a versão 5.2.5 do MCMS, considere restringir o acesso ao parâmetro `categoryId` no arquivo IContentDao.xml como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MCMS versão 5.2.5 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL no MCMS através do endpoint “search.do” no arquivo /web/MCmsAction.java. **Recomendações** Para a versão 5.2.5 do MCMS, considere restringir o acesso ao endpoint “search.do” até que uma correção esteja disponível. Como solução temporária, revise e modifique o arquivo /web/MCmsAction.java para sanitizar adequadamente as entradas do usuário e prevenir ataques de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MCMS versão 5.2.4 **Descrição** O problema é uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio do endpoint “search.do” no arquivo /mdiy/dict/listExcludeApp. **Recomendações** Para a versão 5.2.4 do MCMS, considere restringir o acesso ao endpoint “search.do” até que uma correção esteja disponível. Como solução temporária, evite usar o endpoint vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.