Huangweigang

**Nome do Software Vulnerável e Versões Afetadas** Versões do JeecgBoot até a 3.9.0 **Descrição** Existe uma vulnerabilidade no JeecgBoot relacionada à autorização inadequada. O problema é acionado pela manipulação do argumento `positionId` dentro da função `getPositionUserList`, localizada no arquivo `/sys/position/getPositionUserList`. Essa manipulação pode levar ao acesso não autorizado. O ataque pode ser iniciado remotamente, mas é considerado complexo e difícil de explorar. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores à 3.9.0 estão afetadas. Atualize o JeecgBoot para uma versão superior à 3.9.0. Como solução temporária, restrinja o acesso ao arquivo `/sys/position/getPositionUserList`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JeecgBoot até a 3.9.0 **Descrição** Existe uma falha no JeecgBoot relacionada à autorização inadequada. O problema está presente na função `getDeptRoleList`, localizada no arquivo `/sys/sysDepartRole/getDeptRoleList`. A manipulação do argumento `departId` pode levar a este problema de autorização. O ataque pode ser realizado remotamente, mas requer um alto grau de complexidade e é considerado difícil de explorar. O exploit para este problema foi publicado. **Recomendações** As versões do JeecgBoot anteriores à 3.9.0 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JeecgBoot até a 3.9.0 **Descrição** Existe uma falha no JeecgBoot relacionada à autorização inadequada. Este problema está presente na função `queryPageList` dentro do arquivo `/sys/sysDepartRole/list`. A manipulação do argumento `deptId` pode levar a acesso não autorizado. O ataque pode ser iniciado remotamente e é considerado difícil de explorar. O exploit está publicamente disponível. O fornecedor foi informado sobre este problema, mas não forneceu uma resposta. **Recomendações** Versões anteriores a 3.9.0 são recomendadas.

**Nome do Software Vulnerável e Versões Afetadas** macrozheng mall versões até a 1.0.3 **Descrição** Um problema de segurança foi identificado no macrozheng mall. O problema refere-se a uma autorização inadequada no componente Member Endpoint, afetando especificamente código desconhecido dentro do arquivo `/member/address/update/`. A exploração remota é possível e o exploit foi divulgado publicamente. **Recomendações** Versões anteriores à 1.0.3 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JeecgBoot até a 3.9.0 **Descrição** Existe uma vulnerabilidade de segurança no JeecgBoot que permite o bypass de autorização remota. Isso se deve a uma autorização inadequada resultante da manipulação do argumento `departId` dentro da função `queryDepartPermission`, localizada no arquivo `/sys/permission/queryDepartPermission`. A vulnerabilidade é caracterizada por alta complexidade e dificuldade de exploração. O exploit para esta vulnerabilidade foi divulgado publicamente e pode ser explorado. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** As versões do JeecgBoot anteriores à 3.9.0 devem ser atualizadas. Como medida temporária, considere restringir o acesso ao arquivo `/sys/permission/queryDepartPermission` ou desativar a função `queryDepartPermission()` até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** JeecgBoot versions prior to 3.9.0 **Description** A security issue exists in JeecgBoot that allows for improper authorization. This is due to the manipulation of the `departId` argument within the `getParameterMap` function located in the `/sys/sysDepartPermission/list` file. The issue can be initiated remotely and is considered difficult to exploit. The exploit is publicly available. **Recommendations** Update JeecgBoot to a version later than 3.9.0.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JeecgBoot até a 3.9.0 **Descrição** Existe uma falha no JeecgBoot que pode levar à autorização inadequada. Este problema afeta uma função desconhecida dentro do arquivo `/sys/sysDepartPermission/datarule/`. Atacantes remotos podem ser capazes de explorar essa falha mediante manipulação. Relata-se que o ataque possui alta complexidade e difícil exploração. O exploit foi divulgado publicamente. **Recomendações** Versões anteriores à 3.9.0 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** JeecgBoot versions up to 3.9.0 **Description** A flaw exists in JeecgBoot that relates to improper authorization. The issue is located in the `loadDatarule` function within the `/sys/sysDepartRole/datarule/` file. Manipulation of the `departId`/`roleId` arguments can lead to unauthorized access. The attack can be initiated remotely and is considered difficult to exploit. The exploit is publicly available. The vendor was notified but did not respond. **Recommendations** JeecgBoot versions prior to 3.9.0 should be updated.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JeecgBoot até a 3.9.0 **Descrição** Existe uma falha no JeecgBoot que permite a divulgação de informações. O problema está relacionado à função `getDeptRoleByUserId` localizada no arquivo `/sys/sysDepartRole/getDeptRoleByUserId`. A manipulação do argumento `departId` pode levar à divulgação não autorizada de informações. O fornecedor foi contactado sobre este problema, mas não forneceu uma resposta. **Recomendações** Versões anteriores à 3.9.0 estão afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** youlaitech youlai-mall versões 1.0.0 a 2.0.0 **Descrição** Existe uma falha de segurança no youlaitech youlai-mall. O problema envolve autorização inadequada dentro do componente Balance Handler. Especificamente, a função `deductBalance`, localizada no arquivo mall-ums/ums-boot/src/main/java/com/youlai/mall/ums/controller/app/MemberController.java, está suscetível a manipulação. Isso permite ataques remotos. O exploit para este problema está disponível publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** youlaitech youlai-mall versão 1.0.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. youlaitech youlai-mall versão 2.0.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** youlaitech youlai-mall versões 1.0.0 a 2.0.0 **Descrição** Existe um problema no youlaitech youlai-mall relacionado a controles de acesso inadequados. O componente afetado é o Manipulador de Pagamento de Pedidos, especificamente dentro da função `orderService.payOrder` localizada no arquivo `mall-oms/oms-boot/src/main/java/com/youlai/mall/oms/controller/app/OrderController.java`. Este problema pode ser iniciado remotamente e é considerado de alta complexidade com difícil exploração. Existe um exploit disponível publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Foi observada atividade elevada direcionada a esta vulnerabilidade. **Recomendações** youlaitech youlai-mall versão 1.0.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. youlaitech youlai-mall versão 2.0.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** youlaitech youlai-mall versões 1.0.0 a 2.0.0 **Descrição** Existe uma falha que causa controles de acesso inadequados. O problema afeta a função `getMemberByMobile` no arquivo mall-ums/ums-boot/src/main/java/com/youlai/mall/ums/controller/app/MemberController.java. O ataque pode ser iniciado remotamente e o exploit está disponível publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** youlaitech youlai-mall versão 1.0.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. youlaitech youlai-mall versão 2.0.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** youlaitech youlai-mall versões 1.0.0 até 2.0.0 **Descrição** Um problema de segurança foi identificado no youlaitech youlai-mall. A manipulação do argumento `orderSn` dentro da função `submitOrderPayment`, localizada no arquivo mall-oms/oms-boot/src/main/java/com/youlai/mall/oms/controller/app/OrderController.java, pode levar a uma autorização inadequada. Este problema pode ser explorado remotamente. O exploit para este problema foi divulgado publicamente. A existência deste problema está atualmente sendo questionada, e o fornecedor não respondeu aos relatórios sobre isso. **Recomendações** youlaitech youlai-mall versões 1.0.0 até 2.0.0: Corrija a autorização inadequada protegendo a função `submitOrderPayment` e validando o argumento `orderSn`.

**Nome do Software Vulnerável e Versões Afetadas** youlaitech youlai-mall versões 1.0.0 a 2.0.0 **Descrição** Existe uma falha no youlaitech youlai-mall que permite controles de acesso inadequados. Isso se deve à manipulação do argumento `openid` dentro de uma função desconhecida localizada no endpoint ''/app-api/v1/members/openid''. A falha pode ser explorada remotamente. Os detalhes do exploit foram divulgados publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores à 1.0.0 e versões posteriores à 2.0.0 devem ser utilizadas. Como solução temporária, restrinja o acesso ao endpoint ''/app-api/v1/members/openid''. Evite utilizar o parâmetro `openid` no endpoint de API afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** youlaitech youlai-mall versões 1.0.0 até 2.0.0 **Descrição** Existe uma falha no youlaitech youlai-mall que permite controles de acesso inadequados. Isso ocorre devido à manipulação do argumento `memberId` dentro da função `getMemberById` localizada no arquivo `/mall-ums/app-api/v1/members/`. O ataque pode ser realizado remotamente. O exploit para esta falha foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** As versões 1.0.0 até 2.0.0 estão afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** youlaitech youlai-mall versões 1.0.0 até 2.0.0 **Descrição** Existe uma falha no youlaitech youlai-mall que envolve controle inadequado de variáveis identificadas dinamicamente. O problema está localizado dentro de uma função desconhecida do endpoint da API `/app-api/v1/orders/`. A manipulação do parâmetro `orderId` pode levar a esse controle inadequado. A exploração remota é possível, e o exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** youlaitech youlai-mall versão 1.0.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. youlaitech youlai-mall versão 2.0.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** macrozheng mall-swarm versões até a 1.0.3 **Descrição** Existe um problema de segurança no macrozheng mall-swarm. Pode ocorrer autorização inadequada através da manipulação do argumento `ids` dentro da função `delete` localizada no endpoint '/member/readHistory/delete'. Este problema é explorável remotamente e detalhes sobre o exploit foram divulgados publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores à 1.0.3 são vulneráveis. Como solução temporária, considere restringir o acesso ao endpoint `/member/readHistory/delete` até que um patch esteja disponível. Evite usar o parâmetro `ids` no endpoint da API afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** youlaitech youlai-mall versões 1.0.0 até 2.0.0 **Descrição** Existe uma falha no youlaitech youlai-mall versões 1.0.0 até 2.0.0 relacionada ao controle inadequado de variáveis identificadas dinamicamente. O problema está presente nas funções `getById()`, `updateAddress()` e `deleteAddress()` dentro do arquivo `/mall-ums/app-api/v1/addresses/`. Este problema pode ser explorado remotamente. O exploit foi publicado. **Recomendações** Atualize para uma versão do youlaitech youlai-mall superior a 2.0.0. Como medida temporária de contorno, restrinja o acesso ao arquivo `/mall-ums/app-api/v1/addresses/`. Desative as funções `getById()`, `updateAddress()` e `deleteAddress()` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** macrozheng mall versões até a 1.0.3 **Descrição** Existe uma falha na função `delete` localizada no endpoint ''/member/readHistory/delete''. A manipulação do argumento `ids` pode resultar em controles de acesso inadequados. A exploração remota é possível e o exploit está disponível publicamente. **Recomendações** Versões anteriores à 1.0.3 devem ser atualizadas. Como medida temporária, restrinja o acesso ao endpoint ''/member/readHistory/delete'' até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** macrozheng mall-swarm versões até 1.0.3 **Descrição** Existe uma falha no macrozheng mall-swarm que pode permitir autorização inadequada. Isso se deve à manipulação do argumento `orderId` dentro da função `cancelUserOrder` localizada no arquivo `/order/cancelUserOrder`. O ataque pode ser executado remotamente. O exploit está disponível publicamente. O fornecedor foi informado sobre este problema, mas não forneceu uma resposta. **Recomendações** Versões anteriores à 1.0.3 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.