Cyku Hong

**Name of the Vulnerable Software and Affected Versions** DrangSoft GCB/FCB Audit Software (affected versions not specified) **Description** The software contains a missing authentication issue, allowing unauthenticated remote attackers to access certain APIs. This access enables the creation of new administrative accounts. The issue concerns the ability to bypass access controls and create administrative accounts without proper authentication. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** WMPro (affected versions not specified) **Description** WMPro developed by Sunnet has an arbitrary file upload issue. Unauthenticated remote attackers can upload and execute web shell backdoors, leading to arbitrary code execution on the server. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** WMPro (versões afetadas não especificadas) **Descrição** O WMPro, desenvolvido pela Sunnet, possui uma vulnerabilidade de Leitura Arbitrária de Arquivos. Atacantes remotos não autenticados podem explorar um Traversal de Caminho Relativo para ler arquivos arbitrários do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sunnet eHRD CTMS (versões afetadas não especificadas) **Descrição** O software eHRD CTMS contém uma vulnerabilidade de leitura arbitrária de arquivos. Atacantes remotos com privilégios de administrador podem explorar um mecanismo de travessia de caminho relativo para baixar arquivos arbitrários do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do SmartRobot anteriores à 8.0.0 Descrição: A falha permite que atacantes remotos não autenticados sondem a rede interna e acessem arquivos locais arbitrários no servidor. Esta é uma vulnerabilidade de Server-Side Request Forgery (SSRF). Recomendações: Para versões anteriores à 8.0.0, atualize para a versão 8.0.0 ou posterior para resolver a falha. Como medida temporária de contorno, considere restringir o acesso a recursos da rede interna e a arquivos locais arbitrários no servidor para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** a+HRD da aEnrich Technology (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de Desserialização Insegura. Esta vulnerabilidade permite que atacantes remotos com privilégios de modificação de banco de dados e privilégios regulares do sistema realizem execução arbitrária de código. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** a+HRD from aEnrich Technology (affected versions not specified) **Description** The issue allows unauthenticated remote attackers to inject arbitrary SQL commands, enabling them to read, modify, and delete database contents. This is a SQL Injection vulnerability. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Sistema de Controle de Acesso Dr.ID da SECOM, versões até 3.6.2 **Descrição** A vulnerabilidade permite que invasores remotos não autenticados injetem comandos SQL, possibilitando-lhes ler, modificar e excluir o conteúdo do banco de dados devido à validação inadequada de um parâmetro específico da página. **Recomendações** Para versões até 3.6.2, aplique a correção imediatamente para mitigar os riscos. Como solução temporária, considere restringir o acesso ao parâmetro vulnerável da página até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Softnext Mail SQR Expert (versões afetadas não especificadas) Softnext Mail Archiving Expert (versões afetadas não especificadas) **Descrição** Os serviços web dos produtos da Softnext não validam adequadamente as entradas do usuário, permitindo que invasores remotos não autenticados injetem comandos arbitrários do sistema operacional e os executem no servidor remoto. **Recomendações** Para o Softnext Mail SQR Expert, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Para o Softnext Mail Archiving Expert, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Pacote WinMatrix3 Web da Simopro Technology (versões afetadas não especificadas) **Descrição** A funcionalidade de consulta não possui validação adequada das entradas do usuário, permitindo que invasores remotos não autenticados injetem comandos SQL para ler, modificar e excluir o conteúdo do banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Pacote WinMatrix3 Web da Simopro Technology (versões afetadas não especificadas) **Descrição** O problema diz respeito à funcionalidade de login, que não realiza a validação adequada das entradas do usuário. Isso permite que invasores remotos não autenticados injetem comandos SQL, possibilitando-lhes ler, modificar e excluir o conteúdo do banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** DigiWin EasyFlow .NET (versões afetadas não especificadas) **Descrição** O problema diz respeito à falta de validação de determinados parâmetros de entrada no DigiWin EasyFlow .NET, permitindo que um invasor remoto não autenticado injete comandos SQL arbitrários. Isso permite que o invasor leia, modifique e exclua registros do banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Galaxy Software Services Corporation Vitals ESP (affected versions not specified) **Description** The issue is related to insufficient filtering and validation during file upload in an online knowledge base management portal. An authenticated remote attacker with general user privilege can exploit this to upload and execute scripts onto arbitrary directories, allowing them to perform arbitrary system operations or disrupt service. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** ChangingTec MOTP system (affected versions not specified) **Description** The ChangingTec MOTP system has a path traversal vulnerability. A remote attacker with administrator’s privilege can exploit this vulnerability to access arbitrary system files. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** aEnrich a+HRD (affected versions not specified) **Description** The issue is related to insufficient user input validation for a specific API parameter, allowing an unauthenticated remote attacker to inject arbitrary SQL commands. This can lead to unauthorized access, modification, and deletion of database content. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** aEnrich a+HRD (affected versions not specified) **Description** The aEnrich a+HRD log read function has a path traversal issue. This allows an unauthenticated remote attacker to bypass authentication and download arbitrary system files. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** aEnrich a+HRD (affected versions not specified) **Description** The issue is related to improper validation for the login function. An unauthenticated remote attacker can exploit this to bypass authentication and access API functions, allowing them to perform arbitrary system commands or disrupt the service. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Sistema Mail SQR Expert (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor remoto não autenticado execute arquivos PHP arbitrários com extensão .asp em caminhos específicos do sistema. Isso pode levar ao acesso e à modificação de informações parciais do sistema, embora não afete a disponibilidade do serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Mail SQR Expert (versões afetadas não especificadas) **Descrição** O problema está relacionado à filtragem insuficiente de caracteres especiais em uma função específica do Mail SQR Expert. Isso permite que um invasor remoto não autenticado explore a vulnerabilidade e execute comandos arbitrários no sistema, podendo interromper o serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ASUS Control Center (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor remoto autenticado com privilégios de usuário comum injete comandos SQL em parâmetros específicos da API. Isso pode levar à obtenção do esquema do banco de dados ou ao acesso aos dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.