Caigo

**Name of the Vulnerable Software and Affected Versions** kefaming mayi versions 1.3.9 and earlier **Description** A critical vulnerability has been found in kefaming mayi, affecting the function Upload of the file app/tools/controller/File.php. The manipulation of the argument `File` leads to unrestricted upload. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For versions 1.3.9 and earlier, consider disabling the Upload function in the file app/tools/controller/File.php until a patch is available. Restrict access to the `File` argument to minimize the risk of exploitation. Avoid using the `File` argument in the affected file until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** withstars Books-Management-System versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no sistema, afetando uma funcionalidade desconhecida do arquivo /reader delete.html. Este problema resulta em falsificação de solicitação entre sites (CSRF) e pode ser explorado remotamente. O exploit foi divulgado ao público e pode ser utilizado. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Para o withstars Books-Management-System versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /reader delete.html até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** withstars Books-Management-System versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no withstars Books-Management-System. Ela foi classificada como problemática e afeta uma função desconhecida do arquivo /book edit do.html do componente Página de Edição de Livro. A manipulação do argumento `Name` resulta em cross-site scripting. É possível executar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. Outros parâmetros também podem ser afetados. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Como solução alternativa temporária, considere desativar a função desconhecida do arquivo /book edit do.html até que um patch esteja disponível. Restrinja o acesso à Página de Edição de Livro para minimizar o risco de exploração. Evite utilizar o argumento `Name` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** panhainan DS-Java versão 1.0 **Descrição** Uma vulnerabilidade foi identificada, classificada como problemática, afetando uma função desconhecida no software. Este problema resulta em falsificação de solicitação entre sites e pode ser explorado remotamente. O exploit foi divulgado publicamente. **Recomendações** Para o panhainan DS-Java versão 1.0, considere implementar medidas de segurança adicionais para prevenir ataques de falsificação de solicitação entre sites, como validar as solicitações do usuário e garantir um gerenciamento de sessão adequado, até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** panhainan DS-Java version 1.0 **Description** A critical issue affects the function `uploadUserPic.action` of the file `src/com/phn/action/FileUpload.java`. The manipulation of the argument `fileUpload` leads to code injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For panhainan DS-Java version 1.0, consider disabling the `uploadUserPic.action` function until a patch is available. Restrict access to the `FileUpload.java` file to minimize the risk of exploitation. Avoid using the `fileUpload` argument in the affected function until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** KuangSimpleBBS versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no KuangSimpleBBS, afetando a função `fileUpload` no arquivo `QuestionController.java`. A manipulação do argumento `editormd-image-file` resulta em upload de arquivos irrestrito. Este problema pode ser explorado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o KuangSimpleBBS versão 1.0, como medida temporária, considere desativar a função `fileUpload` até que um patch esteja disponível. Restrinja o acesso ao arquivo `QuestionController.java` para minimizar o risco de exploração. Evite utilizar o argumento `editormd-image-file` na função afetada até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** zhenfeng13 My-BBS version 1.0 **Description** A critical vulnerability was found in the Upload function of the file src/main/java/com/my/bbs/controller/common/UploadController.java, affecting the Endpoint component. This leads to unrestricted upload and can be initiated remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For zhenfeng13 My-BBS version 1.0, as a temporary workaround, consider disabling the Upload function in the src/main/java/com/my/bbs/controller/common/UploadController.java file until a patch is available. Restrict access to the vulnerable Endpoint component to minimize the risk of exploitation. Avoid using the Upload function in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** zhenfeng13 My-BBS versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no software, classificada como problemática, afetando código desconhecido e levando à falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente e o exploit foi divulgado publicamente. Múltiplos endpoints podem ser afetados. **Recomendações** Para o zhenfeng13 My-BBS versão 1.0, considere restringir o acesso a endpoints sensíveis para minimizar o risco de exploração. Como medida temporária, evite usar endpoints que possam ser vulneráveis à falsificação de solicitação entre sites até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** baseweb JSite versão 1.0 **Descrição** Foi descoberto um problema crítico que afeta o Console de Monitoramento Apache Druid, especificamente o arquivo /druid/index.html. Isso leva a controles de acesso inadequados, permitindo ataques remotos. Os detalhes do exploit foram divulgados publicamente. **Recomendações** Para o baseweb JSite versão 1.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: veal98 小牛肉 Echo 开源社区系统 version 4.2 Description: A critical issue has been found in the function `uploadMdPic` of the file `/discuss/uploadMdPic`. The manipulation of the argument `editormd-image-file` leads to unrestricted upload. The attack may be initiated remotely. Recommendations: For version 4.2, as a temporary workaround, consider disabling the `uploadMdPic` function until a patch is available. Restrict access to the `/discuss/uploadMdPic` endpoint to minimize the risk of exploitation. Avoid using the `editormd-image-file` argument in the affected endpoint until the issue is resolved.

Nome do Software Vulnerável e Versões Afetadas: veal98 小牛肉 Echo 开源社区系统 versão 4.2 Descrição: Foi identificada uma vulnerabilidade na função `preHandle` do arquivo `src/main/java/com/greate/community/controller/interceptor/LoginTicketInterceptor.java` do componente Manipulador de Ticket. A manipulação resulta em autorização inadequada. O ataque pode ser executado remotamente. Recomendações: Para a versão 4.2, considere desativar a função `preHandle` do `LoginTicketInterceptor` até que um patch esteja disponível. Restrinja o acesso ao componente `LoginTicketInterceptor` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** xujiangfei admintwo version 1.0 **Description** A problematic issue was found in xujiangfei admintwo, affecting an unknown part of the file /user/updateSet. The manipulation of the `motto` argument leads to cross-site scripting. It is possible to initiate the attack remotely. **Recommendations** For xujiangfei admintwo version 1.0, as a temporary workaround, consider restricting access to the `/user/updateSet` endpoint or avoiding the use of the `motto` argument until a patch is available. At the moment, there is no information about a newer version that contains a fix for this issue.

**Nome do Software Vulnerável e Versões Afetadas** xujiangfei admintwo versão 1.0 **Descrição** Uma vulnerabilidade foi identificada no xujiangfei admintwo, classificada como problemática. Este problema afeta o arquivo /resource/add e está relacionado à manipulação do argumento `Name`, resultando em cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o xujiangfei admintwo versão 1.0, considere restringir o acesso ao endpoint `/resource/add` até que uma correção esteja disponível, e evite usar o parâmetro `Name` neste contexto para minimizar o risco de exploração. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** xujiangfei admintwo versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no processamento do arquivo /ztree/insertTree, onde a manipulação do argumento `Name` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o xujiangfei admintwo versão 1.0, considere restringir o acesso ao endpoint /ztree/insertTree até que uma correção esteja disponível. Como medida temporária, evite utilizar o argumento `Name` no endpoint afetado para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** xujiangfei admintwo versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica que permite a falsificação de solicitação no lado do servidor. Isso é realizado através da manipulação do argumento `description` em uma função desconhecida do arquivo /resource/add, que pode ser acionada remotamente. **Recomendações** Para o xujiangfei admintwo versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /resource/add até que um patch esteja disponível. Evite utilizar o parâmetro `description` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** xujiangfei admintwo versão 1.0 **Descrição** Uma vulnerabilidade foi identificada em uma funcionalidade desconhecida do arquivo /user/home, onde a manipulação do argumento `ID` resulta em controles de acesso inadequados. O ataque pode ser lançado remotamente. **Recomendações** Para o xujiangfei admintwo versão 1.0, como medida paliativa temporária, considere restringir o acesso ao arquivo `/user/home` até que um patch esteja disponível. Evite utilizar o argumento `ID` nas funcionalidades afetadas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** xujiangfei admintwo versão 1.0 **Descrição** Uma falha crítica afeta alguma funcionalidade desconhecida do arquivo /user/updateSet, na qual a manipulação do argumento `email` resulta em controles de acesso inadequados. Esta falha pode ser explorada remotamente. **Recomendações** Para o xujiangfei admintwo versão 1.0, como medida temporária, considere restringir o acesso ao arquivo /user/updateSet até que uma correção esteja disponível. Evite utilizar o argumento `email` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** xujiangfei admintwo versão 1.0 **Descrição** Um problema foi identificado no xujiangfei admintwo, afetando uma parte desconhecida do arquivo /user/updateSet. A manipulação resulta em falsificação de solicitação entre sites. É possível iniciar o ataque remotamente. **Recomendações** Para o xujiangfei admintwo versão 1.0, considere restringir o acesso ao arquivo /user/updateSet para minimizar o risco de exploração. Como solução temporária, evite usar a funcionalidade `updateSet` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** WCMS versão 11 **Descrição** Foi identificado um problema no componente de Registro, afetando especificamente o arquivo /index.php?anonymous/setregister. A manipulação do argumento `Username` resulta em cross-site scripting. Este problema pode ser explorado remotamente. **Recomendações** Para o WCMS versão 11, considere desativar o componente de Registro ou restringir o acesso ao arquivo /index.php?anonymous/setregister até que uma correção esteja disponível. Evite utilizar o argumento `Username` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** WCMS versão 11 **Descrição** Uma questão crítica afeta alguma funcionalidade desconhecida do arquivo "/index.php?articleadmin/upload/?&CKEditor=container&CKEditorFuncNum=1" do componente Article Publishing Page. A manipulação do argumento `Upload` leva a um upload irrestrito. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para a versão 11, como solução temporária, considere desabilitar a funcionalidade de upload na Article Publishing Page até que um patch esteja disponível. Restrinja o acesso ao endpoint "/index.php?articleadmin/upload/" para minimizar o risco de exploração. Evite utilizar o argumento `Upload` no endpoint da API afetado até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.