Badkitty

**Name of the Vulnerable Software and Affected Versions** jjjfood and jjjshop food versions up to 20260103 **Description** A flaw exists in jjjfood and jjjshop food that allows for SQL injection. The issue is located in unknown code within the file '/index.php/api/product.category/index'. Manipulation of the `latitude` argument can trigger the injection. The attack can be performed remotely. The exploit has been publicly disclosed. There is evidence of increased targeting of jiujiujia and other vendors related to this issue. **Recommendations** Versions up to 20260103 should be updated. As a temporary workaround, restrict or disable access to the `/index.php/api/product.category/index` endpoint. Avoid using the `latitude` parameter in the affected API endpoint until the issue is resolved.

**Nome do Software Vulnerável e Versões Afetadas** Jihai Jshop MiniProgram Mall System versão 2.9.0 **Descrição** Existe uma vulnerabilidade de injeção de SQL devido à manipulação do parâmetro `cat id` no arquivo '/index.php/api.html'. O ataque pode ser lançado remotamente. O exploit foi divulgado publicamente. O fornecedor foi contatado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Zytec Dalian Zhuoyun Technology Central Authentication Service versões anteriores à 20251010 **Descrição** Existe uma vulnerabilidade de injeção de código no Serviço de Autenticação Central. O problema está localizado na função ` empty` do arquivo `/index.php/auth/widget`. A manipulação dos argumentos `get.layer`, `get.widget` e `get.action` pode levar à injeção de código. O exploit está disponível publicamente e o fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores à 20251010 devem ser atualizadas. Como medida temporária, restrinja o acesso ao arquivo `/index.php/auth/widget`. Evite utilizar os parâmetros `get.layer`, `get.widget` e `get.action` no endpoint da API afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Zytec Dalian Zhuoyun Technology Central Authentication Service versão 3 **Descrição** Existe um problema de segurança no Zytec Dalian Zhuoyun Technology Central Authentication Service versão 3 relacionado ao componente HTTP Header Handler. O problema envolve o uso de uma senha embutida no código, acionada pela manipulação do argumento `Authorization` em uma requisição ao endpoint '/index.php/auth/Ops/git'. Isso permite exploração remota. O exploit está disponível publicamente. O fornecedor foi informado sobre o problema, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.