Bigbrother_Man

**Nome do Software Vulnerável e Versões Afetadas** Das Parking Management System versão 6.2.0 **Description** Uma falha de segurança no endpoint Search API permite a execução de SQL injection remota, uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução. Isso ocorre através da manipulação do argumento `Value`. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform 3000WEBV2 (versões afetadas não especificadas) **Description** Uma injeção de SQL remota pode ser desencadeada através da manipulação do argumento `sort` no endpoint '/SubstationWEBV2/app/..;/calc/getCalcmeterDetailDayListTree'. SQL injection é uma técnica onde um invasor insere código SQL malicioso em uma consulta, permitindo a manipulação do banco de dados. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Shenzhen Sixun Software Sixun Shanghui Group Business Management System versão 10 **Description** Um problema de injeção de SQL existe no endpoint '/api/Dinner/PayConfig'. Isso ocorre quando o argumento `tableno` é manipulado, permitindo que um invasor remoto execute comandos SQL arbitrários. A injeção de SQL é uma técnica onde um invasor insere código SQL malicioso em uma consulta, potencialmente permitindo a visualização, modificação ou exclusão de dados do banco de dados. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform versão 1.3.0 **Descrição** Um problema de path traversal existe no endpoint '/SubstationWEBV2/app/..;/main/upfile'. Um invasor remoto pode manipular o argumento `path` para acessar arquivos e diretórios fora da pasta pretendida. Path traversal é uma técnica que permite a um invasor ler arquivos arbitrários no servidor usando sequências de caracteres especiais como dot-dot-slash (../). **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Das Parking Management System versão 6.2.0 **Description** Uma injeção de SQL remota é possível através da manipulação do argumento `Value` dentro da função `xp cmdshell()` do endpoint de API 'ParkingRecord/ExportParkingRecords'. SQL injection é uma técnica onde um invasor insere código SQL malicioso em uma consulta, permitindo a manipulação do banco de dados. **Recommendations** Como medida paliativa temporária, restrinja o acesso ao endpoint de API 'ParkingRecord/ExportParkingRecords' ou desative a função `xp cmdshell()` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tiandy Easy7 Integrated Management Platform versão 7.17.0 **Description** Um problema existe no arquivo '/Easy7/apps/WebService/GetDBDataEx.jsp' onde a manipulação do argumento `strTBName` permite a ocorrência de SQL injection, que é uma técnica usada para executar instruções SQL maliciosas que controlam um servidor de banco de dados. Esta falha permite a exploração remota. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tiandy Easy7 Integrated Management Platform versão 7.17.0 **Description** Um problema existe no componente API Endpoint onde o processamento inadequado do endpoint '/rest/user/updateUserPassword' permite a manipulação remota. Isso pode levar a uma recuperação de senha fraca. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tiandy Easy7 Integrated Management Platform versão 7.17.0 **Descrição** Uma falha de injeção de comando de SO existe no endpoint '/Easy7/rest/systemInfo/updateDbBackupInfo'. Atacantes remotos podem explorar isso manipulando o argumento `week`, permitindo a execução de comandos arbitrários do sistema operacional. **Recomendações** Evite usar o argumento `week` no endpoint '/Easy7/rest/systemInfo/updateDbBackupInfo' até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Acrel Electrical EEMS Enterprise Power Operation and Maintenance Cloud Platform versão 1.3.0 **Descrição** Um problema de upload irrestrito existe no arquivo '/SubstationWEBV2/main/uploadH5Files'. Atacantes remotos podem explorar isso manipulando o argumento `File`. **Recomendações** Restrinja o acesso ao arquivo '/SubstationWEBV2/main/uploadH5Files' para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.