B1Ackc4T

**Nome do software vulnerável e versões afetadas** GalleryCMS versão 2.0 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no endpoint `/index.php/album/add` do GalleryCMS, permitindo que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro `album name`. **Recomendações** Para o GalleryCMS versão 2.0, considere desativar o endpoint `/index.php/album/add` até que uma correção esteja disponível e restrinja o uso do parâmetro `album name` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Jizhicms versão 1.9.5 **Descrição** Foi detectada uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) no Jizhicms. A vulnerabilidade está relacionada ao endpoint da API “/admin.php/Plugins/update.html”. Isso permite uma possível exploração, fazendo com que o servidor envie solicitações para locais arbitrários. **Recomendações** Para o Jizhicms versão 1.9.5, como solução temporária, considere restringir o acesso ao endpoint “/admin.php/Plugins/update.html” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Typemill versão 1.5.3 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio de um arquivo PHP malicioso, explorando uma vulnerabilidade de upload de arquivos arbitrários através da função `upload`. **Recomendações** Para a versão 1.5.3 do Typemill, considere desativar a função `upload` até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de upload de arquivos arbitrários.