Deng Gelei

**Nome do software vulnerável e versões afetadas** NavigateCMS versões 2.9.4 e anteriores **Descrição** O problema diz respeito a uma função no arquivo `product.php` que está vulnerável a injeção de SQL. Essa vulnerabilidade ocorre no parâmetro `products-order` por meio de uma solicitação POST, permitindo a execução de consultas SQL arbitrárias no banco de dados do backend. **Recomendações** Para as versões 2.9.4 e anteriores do NavigateCMS, como solução temporária, considere restringir o acesso ao arquivo `product.php` ou desativar a funcionalidade relacionada ao parâmetro `products-order` até que um patch esteja disponível. Evite usar o parâmetro `products-order` em solicitações POST para o endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NavigateCMS versões 2.9.4 e anteriores **Descrição** O problema diz respeito a uma função no arquivo `structure.php` que está vulnerável a injeção de SQL no parâmetro `children order`. Essa vulnerabilidade permite a execução de consultas SQL arbitrárias no banco de dados do backend. **Recomendações** Para as versões 2.9.4 e anteriores do NavigateCMS, considere desativar a função no `structure.php` que lida com o parâmetro `children order` até que uma correção esteja disponível. Restrinja o acesso ao arquivo `structure.php` para minimizar o risco de exploração. Evite usar o parâmetro `children order` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NavigateCMS versões 2.9.4 e anteriores **Descrição** O problema diz respeito a uma vulnerabilidade de injeção de SQL na função `block`, afetando especificamente o parâmetro `block-order`. Essa vulnerabilidade permite a execução de consultas SQL arbitrárias no banco de dados do backend. **Recomendações** Para as versões 2.9.4 e anteriores do NavigateCMS, considere desativar a função `block` até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção SQL. Restrinja o acesso ao parâmetro `block-order` para minimizar o risco de execução de consultas SQL arbitrárias.

**Nome do software vulnerável e versões afetadas** NavigateCMS versões 2.9.4 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL na função `templates.php`, afetando especificamente o parâmetro `template-properties-order`. Essa vulnerabilidade permite a execução de consultas SQL arbitrárias no banco de dados do backend. A vulnerabilidade está associada à falta de medidas de proteção para a estrutura da consulta SQL, o que pode ser explorado por um invasor remoto para executar código SQL arbitrário. **Recomendações** Para as versões 2.9.4 e anteriores do NavigateCMS, considere desativar a função `templates.php` ou restringir o acesso ao parâmetro `template-properties-order` até que uma correção esteja disponível. Evite usar o parâmetro `template-properties-order` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.