Huding

**Name of the Vulnerable Software and Affected Versions** Vitals ESP (affected versions not specified) **Description** A missing authentication issue exists in Vitals ESP, enabling unauthenticated remote attackers to execute functions and potentially obtain sensitive information. The software is developed by Galaxy Software Services. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Vitals ESP (affected versions not specified) **Description** An incorrect authorization issue exists in Vitals ESP developed by Galaxy Software Services. This allows authenticated remote attackers to perform administrative functions, leading to privilege escalation. The issue enables attackers to perform actions beyond their authorized access level. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** QbiCRMGateway (versões afetadas não especificadas) **Descrição** O QbiCRMGateway, desenvolvido pela Ai3, está suscetível a uma vulnerabilidade de leitura arbitrária de arquivos. Atacantes remotos não autenticados podem explorar uma transposição de caminho relativo para baixar arquivos arbitrários do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** DVC da TRCore (versões afetadas não especificadas) **Descrição** O problema diz respeito ao uso de uma chave codificada de forma rígida para a criptografia de arquivos no DVC da TRCore. Essa chave codificada de forma rígida pode ser explorada por invasores para descriptografar os arquivos e restaurar seu conteúdo original. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Team+ da TEAMPLUS TECHNOLOGY (versões afetadas não especificadas) **Descrição** O problema diz respeito à falha na validação adequada de um parâmetro específico da página, permitindo que invasores remotos não autenticados injetem comandos SQL arbitrários e, potencialmente, leiam, modifiquem ou excluam o conteúdo do banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Team+ (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação inadequada de um parâmetro específico de página no Team+ da TEAMPLUS TECHNOLOGY, permitindo que invasores remotos não autenticados leiam arquivos de sistema arbitrários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Team+ versões 13.5.x **Descrição** O problema decorre da validação inadequada de um parâmetro específico da página, permitindo que invasores remotos com privilégios de administrador movam arquivos de sistema arbitrários para o diretório raiz do site e tenham acesso a eles. Isso pode levar ao acesso não autorizado aos dados. **Recomendações** Para a versão 13.5.x, aplique o patch disponível para corrigir o problema e monitore o desenvolvimento de possíveis exploits. Avalie a exposição e aplique medidas de defesa em profundidade para minimizar o risco de exploração. Como solução temporária, considere restringir o acesso a arquivos e diretórios sensíveis do sistema até que o patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Ai3 QbiBot (versões afetadas não especificadas) **Descrição** O recurso de redefinição de senha não possui controle de acesso adequado, permitindo que invasores remotos não autenticados redefinam a senha de qualquer usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Ai3 QbiBot anteriores à 8.0.4 **Descrição** O problema diz respeito à funcionalidade de envio de arquivos, que não restringe adequadamente os tipos de arquivos que podem ser enviados. Isso permite que invasores remotos com privilégios de administrador enviem arquivos contendo código malicioso. **Recomendações** Para versões do Ai3 QbiBot anteriores à 8.0.4, atualize para uma versão corrigida e revise os arquivos enviados para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Intumit SmartRobot (versões afetadas não especificadas) **Descrição** A vulnerabilidade está relacionada ao uso de uma chave de criptografia fixa para autenticação no Intumit SmartRobot. Isso permite que invasores remotos criptografem uma sequência composta pelo nome do usuário e um carimbo de data/hora para gerar um código de autenticação. Com esse código de autenticação, eles podem obter privilégios de administrador e, posteriormente, executar código arbitrário no servidor remoto usando a funcionalidade integrada do sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** InfoDoc Document On-line Submission and Approval System (affected versions not specified) **Description** The issue arises from insufficient restrictions on available tags within the HTML to PDF conversion function, allowing unauthenticated attackers to load remote or local resources through HTML tags such as `iframe`. This enables unauthenticated remote attackers to perform Server-Side Request Forgery (SSRF) attacks, gaining unauthorized access to arbitrary system files and uncovering the internal network topology. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** InfoDoc Document On-line Submission and Approval System versions 22547, 22567 **Description** The issue is related to an Unrestricted Upload of File with Dangerous Type in the file uploading function. This allows an unauthenticated remote attacker to upload and run arbitrary executable files, which can be used to perform arbitrary system commands or disrupt the service. **Recommendations** For versions 22547 and 22567, consider disabling the file uploading function until a patch is available to prevent exploitation. Restrict access to the file uploading module to minimize the risk of uploading arbitrary executable files. Avoid using the file uploading function in the affected system until the issue is resolved.