Hexixi

Nome do software vulnerável e versões afetadas: JFlow versão 2.0.0 Descrição: Uma falha afeta a função `AttachmentUploadController` do componente Attachment Handler, especificamente no arquivo “/WF/Ath/EntityMutliFile Load.do”. A manipulação do argumento `oid` leva a falhas nos controles de acesso, permitindo ataques remotos. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. Recomendações: Para o JFlow versão 2.0.0, como solução temporária, considere desativar a função `AttachmentUploadController` até que um patch esteja disponível. Restrinja o acesso ao componente vulnerável Attachment Handler para minimizar o risco de exploração. Evite usar o argumento `oid` no arquivo afetado “/WF/Ath/EntityMutliFile Load.do” até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Dreamer CMS até a 4.1.3 **Descrição** Foi identificada uma falha crítica no componente Attachment Handler, que leva a problemas de permissão. O ataque pode ser iniciado remotamente. A exploração da falha já foi divulgada publicamente. O fornecedor foi contatado a respeito dessa divulgação, mas não respondeu. **Recomendações** Para versões até 4.1.3, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Tianjin PubliCMS versão 4.0.202302.e **Descrição** Foi detectada uma falha no software, afetando uma parte desconhecida, que leva à falsificação de solicitações entre sites (CSRF). O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para o Tianjin PubliCMS versão 4.0.202302.e, no momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Jspxcms versão 10.2.0 **Descrição** Foi identificada uma vulnerabilidade no processamento do arquivo `/ext/collect/filter text.do`, que leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para o Jspxcms versão 10.2.0, considere desativar o acesso ao arquivo `/ext/collect/filter text.do` até que uma correção esteja disponível. Restringir o uso desse arquivo pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Jspxcms versão 10.2.0 **Descrição** Foi identificada uma vulnerabilidade no Jspxcms, classificada como problemática. Ela afeta uma funcionalidade desconhecida do arquivo /template/1/default/. A manipulação leva à divulgação de informações. O ataque pode ser lançado remotamente. **Recomendações** Para o Jspxcms versão 10.2.0, considere restringir o acesso ao arquivo /template/1/default/ até que uma correção esteja disponível. Como solução temporária, evite usar a funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** LinZhaoguan pb-cms versão 2.0 **Descrição** Foi detectada uma falha no componente Comment Handler do software, permitindo a execução de scripts entre sites (cross-site scripting) por meio da manipulação de entradas, como `<div onmouseenter="alert("xss“)”>`. Essa vulnerabilidade pode ser explorada remotamente. **Recomendações** Para o LinZhaoguan pb-cms versão 2.0, considere desativar o componente Comment Handler até que uma correção esteja disponível para prevenir ataques de cross-site scripting. Restrinja o acesso ao componente para minimizar o risco de exploração. Evite usar campos de entrada potencialmente vulneráveis no Comment Handler até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Jspxcms versão 10.2.0 **Descrição** Foi identificada uma vulnerabilidade no componente Survey Label Handler, que pode ser explorada para provocar um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A causa do problema é a manipulação de uma funcionalidade desconhecida nesse componente. **Recomendações** Para o Jspxcms versão 10.2.0, considere desativar o componente Survey Label Handler até que uma correção esteja disponível para prevenir ataques de cross-site scripting. Restrinja o acesso ao componente para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Jspxcms versão 10.2.0 **Descrição** Foi identificada uma vulnerabilidade em uma funcionalidade desconhecida do arquivo srcmainjavacomjspxcmscorewebbackInfoController.java do componente Document Management Page. A manipulação do argumento `title` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. **Recomendações** Para a versão 10.2.0 do Jspxcms, como solução temporária, considere restringir o acesso ao arquivo `InfoController.java` até que um patch esteja disponível. Evite usar o argumento `title` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Dreamer CMS version 4.1.3 **Description** A vulnerability was found in the software, affecting unknown code of the file /upload/uploadFile. The manipulation of the `file` argument leads to unrestricted upload. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. **Recommendations** For Dreamer CMS version 4.1.3, as a temporary workaround, consider disabling the upload functionality in the /upload/uploadFile file until a patch is available. Restrict access to the /upload/uploadFile endpoint to minimize the risk of exploitation. Avoid using the `file` argument in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** xnx3 wangmarket version 6.1 **Description** A critical issue affects some unknown functionality of the component Role Management Page, leading to code injection. The attack can be launched remotely. **Recommendations** For xnx3 wangmarket version 6.1, at the moment, there is no information about a newer version that contains a fix for this vulnerability.