Hjaqiang

**Nome do Software Vulnerável e Versões Afetadas** wx-shop (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade foi identificada no wx-shop que permite falsificação de solicitação entre sites (CSRF). A manipulação pode ser executada remotamente. O exploit para este problema foi divulgado publicamente. O produto utiliza um modelo de lançamento contínuo (rolling release) para entrega contínua e, portanto, detalhes específicos de versão para lançamentos afetados ou atualizados não estão disponíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** wx-shop até de1b66331368695779cfc6e4d11a64caddf8716e **Descrição** Existe uma vulnerabilidade no wx-shop relacionada ao processamento do arquivo `/user/editUI`. Esta falha permite ataques de cross-site scripting (XSS), que podem ser iniciados remotamente. O exploit para esta falha foi divulgado publicamente. O software utiliza um modelo de rolling release, e detalhes específicos de versão para lançamentos afetados e atualizados não estão disponíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** jerryshensjf JPACookieShop 蛋糕商城 JPA 版 versões até 24a15c02b4f75042c9f7f615a3fed2ec1cefb999 **Descrição** Existe uma vulnerabilidade de cross-site scripting no arquivo `GoodsController.java`. A vulnerabilidade pode ser explorada remotamente e afeta múltiplos endpoints. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** jerryshensjf JPACookieShop 蛋糕商城JPA版 versions up to 24a15c02b4f75042c9f7f615a3fed2ec1cefb999 **Description** A cross-site scripting issue exists due to the manipulation of the `keyword` argument within the `goodsSearch` function of the `GoodsCustController.java` file. This allows for remote attacks. The exploit has been publicly disclosed. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability. As a temporary workaround, consider restricting the use of the `keyword` argument in the `goodsSearch` function until a patch is available.

**Nome do Software Vulnerável e Versões Afetadas** jerryshensjf JPACookieShop 蛋糕商城 JPA 版 (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no arquivo `AdminTypeCustController.java`. A vulnerabilidade permite ataques remotos. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** jerryshensjf JPACookieShop 蛋糕商城 JPA 版 versão 1.0 **Descrição** Existe uma vulnerabilidade crítica devido a um bypass de autorização. Isso é causado pela manipulação da função `updateGoods` no arquivo `GoodsController.java`. O ataque pode ser iniciado remotamente e o exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** jerryshensjf JPACookieShop 蛋糕商城JPA版 version 1.0 **Description** A critical issue exists in the `addGoods` function within the `GoodsController.java` file, allowing for unrestricted file uploads. This issue is remotely exploitable. **Recommendations** As a temporary workaround, consider restricting access to the `addGoods` function until a patch is available.

**Nome do Software Vulnerável e Versões Afetadas** realguoshuai open-video-cms versão 1.0 **Descrição** Um problema crítico afeta o processamento do endpoint da API "/v1/video/list". A manipulação do argumento `sort` resulta em injeção de SQL. Este problema pode ser explorado remotamente. **Recomendações** Para o realguoshuai open-video-cms versão 1.0, como solução temporária, considere restringir o acesso ao endpoint da API "/v1/video/list" ou evitar o uso do argumento `sort` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.