J1Rry

**Nome do software vulnerável e versões afetadas** Versões do PbootCMS anteriores à 5.2.4 **Descrição** Foi detectado um problema em uma funcionalidade desconhecida do arquivo apps/home/controller/IndexController.php. A manipulação do argumento tag leva a um ataque de traversal de caminho. O ataque pode ser lançado remotamente. **Recomendações** Para versões anteriores à 5.2.4, atualize para a versão 5.2.4 para resolver este problema. Como solução temporária, considere restringir o acesso ao arquivo afetado apps/home/controller/IndexController.php até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do PbootCMS até a 3.2.3 **Descrição** Foi identificada uma falha crítica no PbootCMS, afetando uma parte não especificada do arquivo apps/home/controller/IndexController.php. A manipulação do argumento `tag` leva à injeção de código. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para versões do PbootCMS até a 3.2.3, atualize para a versão 3.2.4 para corrigir esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao componente afetado, especificamente ao arquivo IndexController.php, até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do ZhongBangKeJi CRMEB até a 5.4.0 **Descrição** Foi identificada uma falha crítica na função `get image base64` do arquivo PublicController.php. A manipulação do argumento `file` leva à deserialização. Essa falha pode ser explorada remotamente. O código de exploração já foi divulgado publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para as versões do ZhongBangKeJi CRMEB até 5.4.0, como solução temporária, considere desativar a função `get image base64` no arquivo PublicController.php até que um patch esteja disponível. Restrinja o acesso ao arquivo PublicController.php para minimizar o risco de exploração. Evite usar o argumento `file` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Versões do Prain até a 1.3.0 **Descrição** Foi encontrada uma falha crítica no componente HTTP POST Request Handler, afetando especificamente alguma funcionalidade desconhecida do arquivo /?import. A manipulação do argumento `file` leva à injeção de código. Esta falha pode ser explorada remotamente. **Recomendações** Para as versões do Prain até 1.3.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do ZhongBangKeJi CRMEB até a 5.4.0 **Descrição** Foi identificada uma falha crítica que afeta a função `downloadImage` do arquivo `app/services/product/product/CopyTaobaoServices.php`. Essa falha leva à deserialização e pode ser explorada remotamente. A exploração já foi divulgada publicamente. **Recomendações** Para as versões do ZhongBangKeJi CRMEB até 5.4.0, como solução temporária, considere desativar a função `downloadImage` até que um patch esteja disponível. Restrinja o acesso ao arquivo `CopyTaobaoServices.php` para minimizar o risco de exploração. Evite usar a funcionalidade de deserialização na função `downloadImage` afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Nanjing Xingyuantu Technology SparkShop, versões até 1.1.6 **Descrição** Uma falha crítica afeta o processamento do arquivo “/api/Common/uploadFile”. A manipulação do argumento `file` permite o upload sem restrições. O ataque pode ser iniciado remotamente. **Recomendações** Para versões até 1.1.6, restrinja o acesso ao endpoint “/api/Common/uploadFile” para minimizar o risco de exploração. Evite usar o argumento `file` no endpoint da API afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do ShopXO até a 6.1.0 **Descrição** Foi encontrada uma vulnerabilidade crítica no ShopXO, afetando uma funcionalidade desconhecida do arquivo `extend/base/Uploader.php`. A manipulação do argumento `source` leva a uma falsificação de solicitação no lado do servidor. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar sendo utilizada. **Recomendações** Para versões do ShopXO até a 6.1.0, considere desativar o arquivo `extend/base/Uploader.php` ou restringir o acesso a ele até que um patch esteja disponível. Como solução temporária, evite usar o argumento `source` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.