Bkfish

**Nome do software vulnerável e versões afetadas** CuppaCMS versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de execução remota de código (RCE). Ela é explorada por meio da função `saveConfigData` no arquivo `/classes/ajax/Functions.php`. **Recomendações** Para o CuppaCMS versão 1.0, como solução temporária, considere desativar a função `saveConfigData` até que uma correção esteja disponível. Restrinja o acesso ao arquivo `/classes/ajax/Functions.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Atom CMS versão 2.0 **Descrição** Foi detectada uma vulnerabilidade de cross-site scripting (XSS) refletido no Atom CMS. A vulnerabilidade está relacionada ao parâmetro `A` no endpoint da API “/widgets/debug.php”. Isso permite possíveis ataques XSS. **Recomendações** Para o Atom CMS versão 2.0, considere restringir o acesso ao endpoint “/widgets/debug.php” até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `A` neste endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Sistema de Banco Online versão 1.0 **Descrição** O Sistema de Banco Online contém uma vulnerabilidade de injeção de SQL no arquivo staff login.php. Isso permite uma possível exploração. **Recomendações** Para o Sistema de Banco Online versão 1.0, considere restringir o acesso ao arquivo staff login.php até que uma correção esteja disponível. Como solução temporária, evite usar dados inseridos pelo usuário em consultas SQL para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** CuppaCMS versão 1.0 **Descrição** A vulnerabilidade permite que invasores enviem arquivos arbitrários e executem código arbitrário por meio de um arquivo PHP malicioso. Isso é possível devido a uma falha no componente /jquery file upload/server/php/index.php. **Recomendações** Para o CuppaCMS versão 1.0, considere desativar o componente /jquery file upload/server/php/index.php até que uma correção esteja disponível para impedir uploads arbitrários de arquivos e a execução de código. Restrinja o acesso a este componente para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** CuppaCMS versão 1.0 **Descrição** A vulnerabilidade permite a leitura de um arquivo arbitrário por meio da função `copy`. **Recomendações** Para o CuppaCMS versão 1.0, como solução temporária, considere desativar a função `copy` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** CuppaCMS versão 1.0 **Descrição** O problema está relacionado à inclusão de arquivos locais por meio do parâmetro `url` no endpoint `/alerts/alertLightbox.php`. Isso permite um possível acesso não autorizado a arquivos locais. **Recomendações** Para o CuppaCMS versão 1.0, considere restringir o acesso ao endpoint `/alerts/alertLightbox.php` até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `url` neste endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** CuppaCMS versão 1.0 **Descrição** O problema está relacionado à inclusão de arquivos locais por meio do parâmetro `url` no endpoint `/alerts/alertConfigField.php`. Isso permite um possível acesso não autorizado a arquivos locais. **Recomendações** Para o CuppaCMS versão 1.0, considere restringir o acesso ao endpoint `/alerts/alertConfigField.php` até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `url` neste endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Atom CMS versão 2.0 **Descrição** Foi detectada uma vulnerabilidade de execução remota de código (RCE) no Atom CMS através do endpoint /admin/uploads.php. Isso permite a potencial execução de código no servidor. **Recomendações** Para o Atom CMS versão 2.0, como solução temporária, considere desativar o acesso ao endpoint /admin/uploads.php até que uma correção esteja disponível. Restringir o upload de arquivos no painel de administração também pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Atom CMS versão 2.0 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL no Atom CMS por meio do parâmetro `id` no endpoint da API “/admin/ajax/avatar.php”. Isso permite uma possível exploração. **Recomendações** Para o Atom CMS versão 2.0, como solução temporária, considere restringir o acesso ao endpoint da API “/admin/ajax/avatar.php” até que uma correção esteja disponível. Evite usar o parâmetro `id` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Taocms versão 3.0.2 **Descrição** A vulnerabilidade permite a leitura de arquivos arbitrários por meio do parâmetro `path`. Isso pode levar ao acesso não autorizado a informações confidenciais. **Recomendações** Para a versão 3.0.2 do Taocms, considere restringir o acesso ao parâmetro `path` para minimizar o risco de exploração. Evite usar o parâmetro `path` em operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Taocms versão 3.0.2 **Descrição** O problema diz respeito a uma vulnerabilidade de leitura arbitrária de arquivos que pode ser explorada por meio do parâmetro `path`. Além disso, existe uma vulnerabilidade de injeção de SQL no arquivo `taocmsincludeModelArticle.php`. **Recomendações** Para a versão 3.0.2 do Taocms, considere restringir o acesso ao parâmetro `path` para impedir a exploração da leitura arbitrária de arquivos. Como solução temporária, restrinja o acesso ao arquivo `taocmsincludeModelArticle.php` para minimizar o risco de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Navigate CMS versão 2.9.4 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) refletido no arquivo `themes.php` permite que invasores autenticados executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa. **Recomendações** Para o Navigate CMS versão 2.9.4, atualize para uma versão que corrija essa vulnerabilidade, pois a versão atual permite a execução de scripts web ou HTML arbitrários por invasores autenticados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NavigateCMS versão 2.9 **Descrição** Existe uma vulnerabilidade que permite a leitura arbitrária de arquivos por meio do parâmetro `id` da URL “/navigate/navigate download.php”. Isso possibilita o acesso não autorizado a arquivos. **Recomendações** Para o NavigateCMS versão 2.9, como solução temporária, considere restringir o acesso ao endpoint “/navigate/navigate download.php” até que uma correção esteja disponível. Evite usar o parâmetro `id` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.