Dycc

**Nome do software vulnerável e versões afetadas** Fujifilm Apeos C3070, Apeos C5570 e Apeos C6580, versões até 24.8.28 **Descrição** Foi relatado um problema crítico que afeta o componente de interface web dos dispositivos Fujifilm Apeos. O problema está relacionado à autorização inadequada e pode ser iniciado remotamente. Ele afeta código desconhecido do arquivo /home/index.html#hashHome. A exploração foi divulgada ao público e pode ser utilizada. No entanto, a existência real desse problema ainda é questionável, e o fornecedor explica que os comportamentos relatados são intencionais ou não foram reproduzidos. **Recomendações** Para as versões do Fujifilm Apeos C3070, Apeos C5570 e Apeos C6580 até a 24.8.28, considere restringir o acesso ao componente da interface web até que o fornecedor forneça esclarecimentos adicionais ou uma correção. Como solução alternativa temporária, considere desativar o acesso remoto ao arquivo /home/index.html#hashHome até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Guizhou Xiaoma Technology jpress versão 5.1.2 **Descrição** Foi detectado um problema na função `AttachmentUtils.isUnSafe` do manipulador de upload de anexos (Attachment Upload Handler) no arquivo `/commons/attachment/upload`. A manipulação do argumento `files[]` leva a um ataque de cross-site scripting. É possível lançar o ataque remotamente. **Recomendações** Para a versão 5.1.2, considere desativar a função `AttachmentUtils.isUnSafe` até que um patch esteja disponível. Restrinja o acesso ao arquivo `/commons/attachment/upload` para minimizar o risco de exploração. Evite usar o argumento `files[]` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Guangzhou Huayi Intelligent Technology Jeewms versão 1.0.0 **Descrição** Uma falha crítica afeta o componente Druid Monitoring Interface, especificamente o arquivo /jeewms war/webpage/system/druid/index.html, levando a uma autorização indevida. O ataque pode ser iniciado remotamente. A exploração foi divulgada publicamente, e o fornecedor foi contatado, mas não respondeu. **Recomendações** Para a versão 1.0.0, como solução temporária, considere restringir o acesso à Interface de Monitoramento Druid para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Guangzhou Huayi Intelligent Technology Jeewms versão 3.7 **Descrição** Uma falha afeta a função `preHandle` do arquivo `src/main/java/com/zzjee/wm/controller/WmOmNoticeHController.java`. A manipulação do argumento request leva à divulgação de informações. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para o Guangzhou Huayi Intelligent Technology Jeewms versão 3.7, como solução temporária, considere desativar a função `preHandle` até que um patch esteja disponível. Restrinja o acesso ao arquivo `WmOmNoticeHController.java` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** jpress versão 5.1.2 **Descrição** Foi encontrada uma falha no componente Avatar Handler, afetando uma funcionalidade desconhecida do arquivo /commons/attachment/upload. A manipulação do argumento `files` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A vulnerabilidade já foi divulgada ao público e pode estar sendo explorada. **Recomendações** Para a versão 5.1.2, como solução temporária, considere desativar o componente Avatar Handler até que um patch esteja disponível. Restrinja o acesso ao arquivo /commons/attachment/upload para minimizar o risco de exploração. Evite usar o argumento `files` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.