Cby234

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Foi detectada uma falha no zzcms, na qual existe uma vulnerabilidade de injeção de SQL no endpoint “/admin/ztliuyan sendmail.php” quando o invasor possui privilégios de administrador, por meio do parâmetro `id`. **Recomendações** Para o zzcms versão 2019, como solução temporária, considere restringir o acesso ao endpoint “/admin/ztliuyan sendmail.php” ou validar e sanitizar o parâmetro `id` para prevenir ataques de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Foi detectada uma falha no zzcms, na qual existe uma vulnerabilidade de injeção de SQL no endpoint /admin/showbad.php quando o invasor possui privilégios de administrador, por meio do parâmetro `id`. **Recomendações** Para o zzcms versão 2019, como solução temporária, considere restringir o acesso ao endpoint /admin/showbad.php ou desativar o uso do parâmetro `id` neste endpoint até que uma correção esteja disponível. Evite usar o parâmetro `id` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Foi detectada uma falha no software que permite a injeção de SQL por meio do parâmetro `id` no endpoint da API “/user/dls print.php” quando o invasor possui permissão para dls print. **Recomendações** Para o zzcms versão 2019, considere restringir o acesso ao endpoint da API “/user/dls print.php” ou limitar o uso do parâmetro `id` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Foi detectada uma falha no software, que consiste em uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade está presente no endpoint /user/dls download.php quando o invasor possui permissão para dls download e pode ser explorada por meio do parâmetro `id`. **Recomendações** Para o zzcms versão 2019, considere restringir o acesso ao endpoint /user/dls download.php até que uma correção esteja disponível e evite usar o parâmetro `id` neste endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Foi detectada uma falha no zzcms, na qual existe uma vulnerabilidade de injeção de SQL no endpoint /admin/deluser.php quando o invasor possui privilégios de administrador, por meio do parâmetro `id`. **Recomendações** Para o zzcms versão 2019, como solução temporária, considere restringir o acesso ao endpoint /admin/deluser.php ou validar e sanitizar o parâmetro `id` para prevenir ataques de injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Foi detectada uma falha no zzcms, na qual existe uma vulnerabilidade de injeção de SQL no endpoint /dl/dl sendsms.php quando o invasor possui permissão dls print, por meio do cookie `dlid`. **Recomendações** Para o zzcms versão 2019, como solução temporária, considere restringir o acesso ao endpoint /dl/dl sendsms.php até que um patch esteja disponível. Além disso, limite o uso do cookie `dlid` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Foi detectada uma falha no zzcms, na qual existe uma vulnerabilidade de injeção de SQL no endpoint /dl/dl sendmail.php quando o invasor possui permissão dls print. Essa vulnerabilidade pode ser explorada por meio do cookie `dlid`. **Recomendações** Para o zzcms versão 2019, como solução temporária, considere restringir o acesso ao endpoint /dl/dl sendmail.php para minimizar o risco de exploração. Evite usar o cookie `dlid` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Foi detectada uma falha no software que permite a injeção de SQL por meio do parâmetro `id` no endpoint da API “/admin/dl sendmail.php” quando um invasor possui privilégios de administrador. **Recomendações** Para o zzcms versão 2019, evite usar o parâmetro `id` no endpoint da API “/admin/dl sendmail.php” até que a falha seja resolvida. Como solução temporária, considere restringir o acesso ao endpoint “/admin/dl sendmail.php” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Existe uma falha no software que permite a injeção de SQL no endpoint /admin/dl sendsms.php por meio do parâmetro `id`. **Recomendações** Para a versão 2019 do zzcms, evite usar o parâmetro `id` no endpoint /admin/dl sendsms.php até que o problema seja resolvido. Considere restringir o acesso a este endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Existe uma falha no zzcms 2019 que permite a injeção de SQL no endpoint “dl/dl download.php” por meio do parâmetro `id`, quando seu valor contém uma vírgula no final. **Recomendações** Para o zzcms versão 2019, evite usar o parâmetro `id` com uma vírgula no final no endpoint “dl/dl download.php” até que uma correção esteja disponível. Como solução temporária, considere restringir o acesso ao endpoint “dl/dl download.php” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Existe uma falha no software que permite a execução de injeção de SQL. Isso ocorre no arquivo `dl/dl print.php` devido a um valor do parâmetro `id` que contém uma vírgula no final. **Recomendações** Para o zzcms versão 2019, evite usar o parâmetro `id` com uma vírgula no final no arquivo `dl/dl print.php` até que uma correção esteja disponível. Como solução temporária, considere restringir o acesso ao arquivo `dl/dl print.php` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** zzcms versão 2019 **Descrição** Existe uma falha no zzcms 2019 que permite a execução de injeção de SQL. Isso ocorre no arquivo user/ztconfig.php por meio dos parâmetros POST `daohang` ou `img`. **Recomendações** Para o zzcms versão 2019, considere restringir o acesso ao arquivo user/ztconfig.php para minimizar o risco de exploração. Evite usar os parâmetros `daohang` e `img` na solicitação POST para este arquivo até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: MetInfo versão 7.0 beta Descrição: A vulnerabilidade permite que invasores excluam e modifiquem arquivos ini em locais específicos, incluindo `app/system/language/admin/language general.class.php` e `app/system/include/function/file.func.php`. Recomendações: Para o MetInfo versão 7.0 beta, considere restringir o acesso aos arquivos vulneráveis até que uma correção esteja disponível. Como solução temporária, restrinja as modificações nos arquivos ini nos locais afetados para minimizar o risco de exploração.