Chenzijie0619

**Nome do software vulnerável e versões afetadas** HuangDou UTCMS versão V9 **Descrição** Foi identificada uma vulnerabilidade crítica no HuangDou UTCMS, afetando alguma funcionalidade desconhecida do arquivo app/modules/ut-cac/admin/cli.php. A manipulação do argumento `o` leva à injeção de comandos no sistema operacional. Essa vulnerabilidade pode ser explorada remotamente. A exploração foi divulgada ao público. O fornecedor foi contatado sobre essa divulgação, mas não respondeu. **Recomendações** Para o HuangDou UTCMS versão V9, como solução temporária, considere restringir o acesso ao arquivo app/modules/ut-cac/admin/cli.php para minimizar o risco de exploração. Evite usar o argumento `o` na funcionalidade afetada até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** HuangDou UTCMS versão V9 **Descrição** Foi encontrada uma vulnerabilidade crítica no HuangDou UTCMS, afetando uma parte desconhecida do arquivo app/modules/ut-template/admin/template creat.php. A manipulação do argumento `content` leva à deserialização. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para o HuangDou UTCMS versão V9, como solução temporária, considere restringir o acesso ao arquivo `template creat.php` até que um patch esteja disponível. Evite usar o argumento `content` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** HuangDou UTCMS versão V9 **Descrição** Foi identificada uma vulnerabilidade crítica na função `RunSql` do arquivo `app/modules/ut-data/admin/sql.php`. A manipulação do argumento `sql` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para o HuangDou UTCMS versão V9, como solução temporária, considere desativar a função `RunSql` até que um patch esteja disponível. Restrinja o acesso ao arquivo `sql.php` para minimizar o risco de exploração. Evite usar o argumento `sql` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** 07FLYCMS versão 1.3.8 07FLY-CMS versão 1.3.8 07FlyCRM versão 1.3.8 **Descrição** Foi encontrada uma falha crítica na função `uploadFile` do componente Module Plug-In Handler, localizado no arquivo `/admin/SysModule/upload/ajaxmodel/upload/uploadfilepath/sysmodule 1`. A manipulação do argumento `file` leva a um upload sem restrições. Esta falha pode ser explorada remotamente. **Recomendações** Para o 07FLYCMS versão 1.3.8, considere desativar a função `uploadFile` até que um patch esteja disponível. Para o 07FLY-CMS versão 1.3.8, restrinja o acesso ao arquivo `/admin/SysModule/upload/ajaxmodel/upload/uploadfilepath/sysmodule 1` para minimizar o risco de exploração. Para o 07FlyCRM versão 1.3.8, evite usar o argumento `file` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** 07FLYCMS versão 1.3.8 07FLY-CMS versão 1.3.8 07FlyCRM versão 1.3.8 **Descrição** Foi detectado um problema no componente Página de Configurações do Sistema, onde a manipulação do argumento `Login Interface Copyright` leva a um ataque de cross-site scripting. Esta vulnerabilidade pode ser explorada remotamente. **Recomendações** Para o 07FLYCMS versão 1.3.8, considere desativar o componente Página de Configurações do Sistema até que uma correção esteja disponível. Para a versão 1.3.8 do 07FLY-CMS, restrinja o acesso à Página de Configurações do Sistema para minimizar o risco de exploração. Para a versão 1.3.8 do 07FlyCRM, evite usar o argumento `Login Interface Copyright` na Página de Configurações do Sistema até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.