C0D1M4X

**Nome do software vulnerável e versões afetadas: IBOS versão 4.5.4 Descrição: O problema está relacionado a uma vulnerabilidade de script entre sites (XSS). Essa vulnerabilidade foi identificada na função de e-mail, especificamente no parâmetro `emailbody[content]`. O XSS é um tipo de ataque em que um invasor pode injetar scripts maliciosos no conteúdo de sites que, de outra forma, seriam confiáveis. Recomendações: Para a versão 4.5.4 do IBOS, considere restringir o uso da função de e-mail até que uma correção esteja disponível, evitando especificamente o uso do parâmetro `emailbody[content]` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: IBOS versão 4.5.4 Descrição: O problema está relacionado a uma vulnerabilidade de injeção de comando no backup do banco de dados do IBOS. Recomendações: Para a versão 4.5.4 do IBOS, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: IBOS versão 4.5.4 Descrição: A vulnerabilidade permite a inclusão arbitrária de arquivos, o que pode levar à obtenção de acesso ao shell (getshell) por meio do endpoint /system/modules/dashboard/controllers/CronController.php. Recomendações: Para a versão 4.5.4 do IBOS, considere restringir o acesso ao arquivo CronController.php como uma solução temporária até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas: CRMEB versões 3.1.0 e posteriores Descrição: O problema diz respeito a uma vulnerabilidade de obtenção de shell (Getshell) no upload de arquivos através do endpoint /crmeb/crmeb/services/UploadService.php. Isso permite uma possível exploração. Recomendações: Para as versões 3.1.0 e posteriores do CRMEB, como solução temporária, considere desativar a funcionalidade de upload de arquivos no UploadService.php até que um patch esteja disponível. Restrinja o acesso ao endpoint /crmeb/crmeb/services/UploadService.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: CRMEB versões 3.1.0 e posteriores Descrição: A vulnerabilidade no CRMEB está relacionada à filtragem restrita de nomes de domínio, o que leva a uma falsificação de solicitação do lado do servidor (SSRF). O código vulnerável está localizado no arquivo /crmeb/app/admin/controller/store/CopyTaobao.php. Recomendações: Para as versões 3.1.0 e posteriores do CRMEB, considere restringir o acesso ao arquivo vulnerável CopyTaobao.php até que uma correção esteja disponível. Como solução temporária, revise e modifique o mecanismo de filtragem de nomes de domínio para prevenir ataques SSRF.