Coinismoney

**Nome do software vulnerável e versões afetadas** Weaver E-cology versões 9.x **Descrição** A falha permite que invasores criem solicitações especiais para inserir código malicioso remotamente e acionar a execução desse código, podendo obter controle sobre os privilégios do servidor. Ela está relacionada a uma vulnerabilidade de injeção de SQL. **Recomendações** Para as versões 9.x, atualize para uma versão que inclua uma correção para a vulnerabilidade de injeção SQL, a fim de impedir a execução de código malicioso e a possível escalada de privilégios.

**Nome do software vulnerável e versões afetadas** Weaver Ecology versões 9.* **Descrição** A falha permite que invasores realizem um traversal de diretório, possibilitando-lhes excluir arquivos arbitrariamente. Isso pode fazer com que o servidor fique permanentemente indisponível. A vulnerabilidade pode ser explorada por meio do componente `/importmould/deletefolder`. **Recomendações** Para as versões 9.* do Weaver Ecology, considere restringir o acesso ao componente `/importmould/deletefolder` até que uma correção esteja disponível. Como solução temporária, limite a capacidade de invasores autenticados de executar operações de traversal de diretório e exclusão de arquivos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Landray EKP até a 16.0 **Descrição** Foi identificada uma falha crítica na função `delPreviewFile` do arquivo “/sys/ui/sys ui component/sysUiComponent.do?method=delPreviewFile”. A manipulação do argumento `directoryPath` leva a um ataque de traversal de caminho. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para as versões do Landray EKP até a 16.0, como solução temporária, considere desativar a função `delPreviewFile` até que um patch esteja disponível. Restrinja o acesso ao endpoint “/sys/ui/sys ui component/sysUiComponent.do?method=delPreviewFile” para minimizar o risco de exploração. Evite usar o argumento `directoryPath` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Landray EKP até a 16.0 **Descrição** Foi encontrada uma vulnerabilidade crítica no Landray EKP, afetando a função `deleteFile` do arquivo `/sys/common/import.do?method=deleteFile` no componente Interface API. A manipulação do argumento `folder` leva à traversal de caminho. Esta vulnerabilidade pode ser explorada remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para as versões do Landray EKP até a 16.0, atualize para o patch mais recente imediatamente para mitigar os riscos. Como solução temporária, considere restringir o acesso ao endpoint `/sys/common/import.do?method=deleteFile` até que um patch esteja disponível. Evite usar o argumento `folder` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Landray EKP anteriores à v17 **Descrição** Uma vulnerabilidade de tipo cross-site scripting (XSS) permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa. Isso possibilita a execução de código malicioso no lado do cliente, podendo levar a ações não autorizadas ou ao roubo de dados. **Recomendações** Para versões anteriores à v17, atualize para a versão v17 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para impedir a execução de scripts maliciosos até que um patch esteja disponível.