Guo Jiabao

**Nome do software vulnerável e versões afetadas** Plataforma de gerenciamento Byzoro Smart S80, versões até 20240317 **Descrição** Uma vulnerabilidade crítica afeta alguma funcionalidade desconhecida do arquivo /useratte/userattestation.php. A manipulação do argumento `web img` leva a um upload sem restrições. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu. **Recomendações** Para as versões da Plataforma de Gerenciamento Byzoro Smart S80 até 20240317, como solução temporária, considere restringir o acesso ao arquivo /useratte/userattestation.php até que um patch esteja disponível. Evite usar o argumento `web img` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Sistema de difusão por intercomunicação em rede IP da Shibang Communications, versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no Sistema de difusão por intercomunicação em rede IP da Shibang Communications. Este problema afeta uma parte desconhecida do arquivo /php/busyscreenshotpush.php. A manipulação dos argumentos `jsondata[callee]` e `jsondata[imagename]` leva a um traversal de caminho, permitindo que um invasor acesse arquivos fora do diretório pretendido usando ‘../filedir’. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o Sistema de Intercomunicação e Transmissão em Rede IP da Shibang Communications versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /php/busyscreenshotpush.php até que um patch esteja disponível. Além disso, restrinja o uso dos argumentos `jsondata[callee]` e `jsondata[imagename]` no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Panwei eoffice OA até a 9.5 **Descrição** Uma vulnerabilidade crítica afeta o componente Backend do software, especificamente o arquivo /general/system/interface/theme set/save image.php. A manipulação do argumento `image type` leva a um traversal de caminho, permitindo que um invasor acesse arquivos usando ‘../filedir’. Essa vulnerabilidade pode ser explorada remotamente. A exploração já foi divulgada publicamente. **Recomendações** Para versões até 9.5, considere desativar a função `save image.php` no diretório `/general/system/interface/theme set/` até que um patch esteja disponível. Restrinja o acesso ao componente Backend vulnerável para minimizar o risco de exploração. Evite usar o argumento `image type` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.