Hqlzs

**Nome do Software Vulnerável e Versões Afetadas** Lumsoft ERP versão 8 **Descrição** Uma falha crítica foi identificada no Lumsoft ERP 8, afetando alguma funcionalidade desconhecida do arquivo "/Api/TinyMce/UploadAjaxAPI.ashx" do componente ASPX File Handler. A manipulação do argumento `file` resulta em upload sem restrições. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de nenhuma forma. **Recomendações** Para o Lumsoft ERP versão 8, como medida temporária (workaround), considere desabilitar o arquivo "/Api/TinyMce/UploadAjaxAPI.ashx" ou restringir o acesso a ele até que um patch esteja disponível. Evite utilizar o argumento `file` no endpoint da API afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: ESAFENET CDG versão 5.6.3.154.205 20250114 Descrição: Uma falha crítica foi identificada, afetando uma função desconhecida do arquivo addPolicyToSafetyGroup.jsp. A manipulação do parâmetro `safetyGroupId` resulta em Injeção de SQL. O ataque pode ser executado remotamente. A falha foi divulgada publicamente e pode ser utilizada em ataques. O fabricante foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para o ESAFENET CDG versão 5.6.3.154.205 20250114, como solução temporária, considere restringir o acesso ao arquivo `addPolicyToSafetyGroup.jsp` para minimizar o risco de exploração. Evite utilizar o parâmetro `safetyGroupId` no arquivo afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.