Enenen

**Nome do Software Vulnerável e Versões Afetadas** Versões do IdeaCMS até a 1.6 **Descrição** Uma vulnerabilidade crítica foi encontrada no IdeaCMS, afetando a função `saveUpload`. Esta vulnerabilidade permite upload sem restrições e pode ser explorada remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para as versões do IdeaCMS até a 1.6, considere desativar a função `saveUpload` como uma medida temporária até que um patch esteja disponível. Restrinja o acesso à função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Sayski ForestBlog up to 20250321 **Description** A vulnerability was found in the component Friend Link Handler of Sayski ForestBlog, which can lead to cross-site scripting. The manipulation can be done remotely. **Recommendations** For Sayski ForestBlog up to 20250321, consider restricting access to the Friend Link Handler component until a fix is available. As a temporary workaround, avoid using the unknown functionality of the Friend Link Handler component to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Sayski ForestBlog versões até 20250321 **Descrição** Uma vulnerabilidade foi encontrada no Sayski ForestBlog, afetando uma funcionalidade desconhecida do arquivo /search. A manipulação do argumento `keywords` resulta em cross-site scripting. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para as versões do Sayski ForestBlog até 20250321, como solução temporária, considere desativar a funcionalidade relacionada ao arquivo /search até que uma correção esteja disponível. Restrinja o acesso ao arquivo /search para minimizar o risco de exploração. Evite usar o argumento `keywords` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do mingyuefusu tushuguanlixitong até d4836f6b49cd0ac79a4021b15ce99ff7229d4694 **Descrição** Uma vulnerabilidade crítica foi encontrada no sistema mingyuefusu tushuguanlixitong, afetando a função `getBookList` do arquivo `/admin/bookList?page=1&limit=10`. A manipulação do argumento `condition` resulta em Injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Como solução temporária, considere desativar a função `getBookList` até que uma correção esteja disponível. Restrinja o acesso ao endpoint da API `/admin/bookList` para minimizar o risco de exploração. Evite utilizar o argumento `condition` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** mingyuefusu Sistema de Gerenciamento de Bibliotecas até d4836f6b49cd0ac79a4021b15ce99ff7229d4694 **Descrição** O problema afeta algum processamento desconhecido, levando à falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente. **Recomendações** Para versões até d4836f6b49cd0ac79a4021b15ce99ff7229d4694, considere implementar medidas de segurança adicionais para prevenir ataques de falsificação de solicitação entre sites, como validar solicitações do usuário e garantir o gerenciamento adequado de sessão. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** mingyuefusu tushuguanlixitong versões até d4836f6b49cd0ac79a4021b15ce99ff7229d4694 **Descrição** Uma vulnerabilidade crítica foi encontrada no sistema mingyuefusu tushuguanlixitong, afetando a função `doFilter` do arquivo `/admin/` no componente de Backend. A manipulação do argumento `Request` leva a controles de acesso inadequados, permitindo ataques remotos. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Como medida de contorno temporária, considere desativar a função `doFilter` no arquivo `/admin/` do componente de Backend até que um patch esteja disponível. Restrinja o acesso ao arquivo `/admin/` para minimizar o risco de exploração. Evite usar o argumento `Request` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** yangyouwang 杨有旺 crud 简约后台管理系统 versão 1.0.0 **Descrição** Uma vulnerabilidade foi encontrada no componente da Página de Gerenciamento de Funções do software afetado, resultando em cross-site scripting. A manipulação pode ser iniciada remotamente e o exploit foi divulgado publicamente. **Recomendações** Para a versão 1.0.0, considere desativar o componente da Página de Gerenciamento de Funções até que uma correção esteja disponível. Restrinja o acesso a este componente para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** 猫宁 i Morning até bc782730c74ff080494f145cc363a0b4f43f7d3e **Descrição** Foi encontrada uma vulnerabilidade em 猫宁 i Morning, afetando uma funcionalidade desconhecida. A manipulação resulta em falsificação de solicitação entre sites (CSRF). O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Este produto adota a abordagem de lançamentos contínuos (rolling releases) para fornecer entrega contínua. Portanto, detalhes de versão para lançamentos afetados e atualizados não estão disponíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** LinZhaoguan pb-cms versão 2.0 **Descrição** Foi encontrada uma vulnerabilidade no componente de Logout, que pode levar à falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente. **Recomendações** Para a versão 2.0, atualize para uma versão que corrija o problema de falsificação de solicitação entre sites no componente de Logout, ou considere desativar a funcionalidade de Logout até que um patch esteja disponível.