Hackxiaofeng

**Nome do software vulnerável e versões afetadas: YzmCMS versão 5.8 Descrição: Uma vulnerabilidade de XSS de armazenamento permite que invasores injetem código JS, possibilitando ataques maliciosos de XSS no endpoint da API “/admin/system manage/user config edit.html”. Isso pode ser explorado para executar ações não autorizadas. Recomendações: Para o YzmCMS versão 5.8, como solução temporária, considere restringir o acesso à página “/admin/system manage/user config edit.html” até que uma correção esteja disponível. Evite usar essa página para operações confidenciais até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: YzmCMS versão 5.8 Descrição: Foi detectada uma falha que permite uma vulnerabilidade CSRF, possibilitando a criação de contas de usuário através do endpoint da API “member/member/add.html”. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Recomendações: Para o YzmCMS versão 5.8, como solução temporária, considere restringir o acesso ao endpoint da API “member/member/add.html” até que uma correção esteja disponível. Evite usar esse endpoint para adicionar novas contas de usuário membro até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.