Blackspdier

**Name of the Vulnerable Software and Affected Versions** Xinhu Rainrock RockOA versions up to 2.7.1 **Description** A security flaw exists in Xinhu Rainrock RockOA. The issue affects an unknown function within the `rock page gong.php` file of the Cover Image Handler component. Manipulation of the `fengmian` argument can lead to cross site scripting. The attack can be initiated remotely. The exploit for this issue has been publicly released. The vendor was notified but did not respond. **Recommendations** Versions prior to 2.7.1 should be updated. As a temporary workaround, consider restricting access to the `rock page gong.php` file.

**Name of the Vulnerable Software and Affected Versions** Xinhu Rainrock RockOA versions up to 2.7.1 **Description** A security issue exists in Xinhu Rainrock RockOA. The issue involves cross site scripting, potentially allowing remote attacks. The issue is related to the manipulation of the `callback` argument within an unknown functionality of the `rockfun.php` file in the API component. The exploit for this issue has been publicly released. The vendor was notified but did not respond. **Recommendations** Versions prior to 2.7.1 should be updated.

**Nome do Software Vulnerável e Versões Afetadas** Versões do aaPanel BaoTa anteriores à 11.1.1 **Descrição** Existe uma vulnerabilidade de injeção de SQL no aaPanel BaoTa. A vulnerabilidade está localizada no componente de Backend, especificamente dentro do endpoint `/database?action=GetDatabaseAccess`. A manipulação do parâmetro `Name` pode levar à injeção de SQL. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Atualize o aaPanel BaoTa para a versão 11.1.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** qianfox FoxCMS versões até a 1.2 **Descrição** Existe uma vulnerabilidade de cross-site scripting no componente de Página de Pesquisa do qianfox FoxCMS. A vulnerabilidade está localizada no arquivo `/index.php/Search` e envolve a manipulação do parâmetro `keyword`. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do CRMEB anteriores a 5.6.2 **Descrição** Existe um problema de segurança no CRMEB relacionado ao componente JWT HMAC Secret Handler. A manipulação do argumento `secret` com a entrada `default` leva ao uso de uma chave criptográfica hard-coded dentro de uma função desconhecida. Este problema é explorável remotamente, embora a exploração seja considerada difícil. O exploit está disponível publicamente. O fornecedor foi contatado, mas não respondeu. **Recomendações** Atualize o CRMEB para a versão 5.6.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Rebuild versions up to 4.1.3 **Description** A security flaw exists in Rebuild’s Comment/Guestbook component, potentially allowing for cross site scripting. Remote manipulation of an unknown functionality within the component can trigger this issue. **Recommendations** Upgrade to version 4.1.4 to resolve this issue.

**Nome do Software Vulnerável e Versões Afetadas** Versões do CRMEB anteriores à 5.7 **Descrição** Existe uma falha de segurança no CRMEB que permite injeção de SQL. O problema está relacionado ao processamento do argumento `cate id` dentro do componente de Manipulação de Parâmetros GET, especificamente no arquivo '/adminapi/product/product'. A exploração remota é possível através da manipulação deste parâmetro. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Atualize o CRMEB para a versão 5.7 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do GstarCAD anteriores à 9.4.0 **Descrição** Existe uma falha no Gstarsoft GstarCAD relacionada ao componente File Renaming Handler. Este problema permite Cross-Site Scripting, potencialmente habilitando ataques remotos. O exploit para este problema foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do SeaCMS até a 13.3 **Descrição** Existe uma falha de Injeção de SQL no SeaCMS devido à manipulação do argumento `ID` no arquivo `/admin members.php?ac=editsave`. Isso permite exploração remota. O exploit foi divulgado publicamente. **Recomendações** Versões do SeaCMS anteriores à 13.3: Corrija a falha de Injeção de SQL sanitizando o argumento `ID` no arquivo `/admin members.php?ac=editsave`.