Haoran Zhao

**Nome do Software Vulnerável e Versões Afetadas** Erick xmall versões 1.1 e anteriores **Descrição** Uma falha no Erick xmall permite que um atacante remoto escalone privilégios através do método `updateAddress` da classe `Address Controller`. **Recomendações** Para as versões 1.1 e anteriores do Erick xmall, considere desativar o método `updateAddress` da classe `Address Controller` como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** RUoYi versão 4.8.0 **Descrição** A falha permite que um atacante remoto escale privilégios através do parâmetro `postID` no método `edit`. **Recomendações** Para a versão 4.8.0 do RUoYi, evite usar o parâmetro `postID` no método `edit` afetado até que a falha seja corrigida.

**Name of the Vulnerable Software and Affected Versions** RUoYi version 4.8.0 **Description** The issue allows a remote attacker to escalate privileges via the `jobId` parameter. **Recommendations** For RUoYi version 4.8.0, avoid using the `jobId` parameter in affected API endpoints until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** RUoYi version 4.8.0 **Description** The issue allows a remote attacker to escalate privileges via the `editSave` method, which does not properly validate whether the requesting user has administrative privileges before allowing modifications to system configuration settings. **Recommendations** For RUoYi version 4.8.0, as a temporary workaround, consider disabling the `editSave` method until a patch is available. Restrict access to system configuration settings to minimize the risk of exploitation. Avoid using the `editSave` method for modifications to system configuration settings until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** RUoYi versão 4.8.0 **Descrição** A falha permite que um atacante remoto escale privilégios por meio do método `changeStatus`. **Recomendações** Para a versão 4.8.0 do RUoYi, considere desativar o método `changeStatus` até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** RUoYi versão 4.8.0 **Descrição** A falha permite que um atacante remoto escalone privilégios por meio do parâmetro `jobLogId`. **Recomendações** Para a versão 4.8.0 do RUoYi, evite utilizar o parâmetro `jobLogId` até que a falha seja corrigida.

**Nome do Software Vulnerável e Versões Afetadas** RUoYi versão 4.8.0 **Descrição** A falha permite que um atacante remoto escale privilégios. Isso é realizado por meio do método `selectDeptTree` do endpoint "/selectDeptTree/{deptId}", que não valida corretamente o parâmetro `deptId`. **Recomendações** Para o RUoYi versão 4.8.0, como medida temporária, considere restringir o acesso ao endpoint `/selectDeptTree/{deptId}` até que um patch esteja disponível. Além disso, evite utilizar o parâmetro `deptId` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** RUoYi versão 4.8.0 **Descrição** A vulnerabilidade permite que um atacante remoto escalone privilégios por meio do método `editSave` no endpoint da API "/tool/gen/editSave". **Recomendações** Para a versão 4.8.0 do RUoYi, como solução temporária, considere desativar o método `editSave` no endpoint da API "/tool/gen/editSave" até que um patch esteja disponível. Restrinja o acesso ao endpoint "/tool/gen/editSave" para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** RUoYi versão 4.8.0 **Descrição** A falha permite que um atacante remoto escale privilégios por meio do método "API Endpoint: /editSave" no `SysNoticeController`. **Recomendações** Para a versão 4.8.0 do RUoYi, considere desabilitar o método `/editSave` no `SysNoticeController` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao `SysNoticeController` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** RUoYi versão 4.8.0 **Descrição** A falha permite que um atacante remoto escalone privilégios através do componente SysDictTypeController. **Recomendações** Para a versão 4.8.0 do RUoYi, considere desabilitar o acesso ao componente SysDictTypeController até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** RUoYi versão 4.8.0 **Descrição** A falha permite que um atacante remoto escale privilégios por meio do método edit do endpoint "/edit/{dictId}", o qual não valida corretamente se o usuário solicitante possui permissão para modificar o `dictId` especificado. **Recomendações** Para a versão 4.8.0 do RUoYi, como solução temporária, considere restringir o acesso ao endpoint "/edit/{dictId}" até que uma correção esteja disponível. Evite usar a variável `dictId` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle WebLogic Server, versões 12.2.1.4.0 a 14.1.1.0.0 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente Core do Oracle WebLogic Server, permitindo que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor. Ataques bem-sucedidos podem resultar na capacidade de causar um travamento ou uma falha repetitiva (DOS completo) do Oracle WebLogic Server. **Recomendações** Para as versões 12.2.1.4.0 e 14.1.1.0.0, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.