Jadacheng

**Nome do software vulnerável e versões afetadas** PluxXml versão 5.7 **Descrição** A função de edição de temas no PluxXml é afetada por uma falha que permite que invasores remotos executem código PHP arbitrário. Isso pode ser feito inserindo o código malicioso em um modelo, especificamente por meio do endpoint /PluXml/core/admin/parametres edittpl.php. **Recomendações** Para o PluxXml versão 5.7, como solução temporária, considere desativar a função de edição de tema até que um patch esteja disponível. Restrinja o acesso ao endpoint /PluXml/core/admin/parametres edittpl.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PluXml versão 5.7 **Descrição** A vulnerabilidade permite que invasores executem código PHP arbitrário ao modificar o arquivo de configuração em um ambiente Linux, especificamente por meio do arquivo class.plx.admin.php. **Recomendações** Para o PluXml versão 5.7, atualize o arquivo class.plx.admin.php para impedir a modificação do arquivo de configuração ou restrinja o acesso a esse arquivo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GetSimpleCMS versão 3.3.15 **Descrição** A vulnerabilidade permite que invasores remotos excluam arquivos arbitrários. Isso é possível por meio de um ataque de traversal de diretório. O endpoint da API “/admin/log.php” está envolvido na exploração. **Recomendações** Para o GetSimpleCMS versão 3.3.15, considere restringir o acesso ao endpoint “/admin/log.php” até que uma correção esteja disponível. Como solução temporária, evite usar o arquivo log.php no diretório admin para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** taocms versions prior to 2014-05-24 **Description** The issue allows for eval injection by placing PHP code in the `db name` parameter of install.php and then making a request to config.php. **Recommendations** For versions prior to 2014-05-24, avoid using the `db name` parameter in the install.php file until a fix is available. As a temporary workaround, consider restricting access to the install.php and config.php files to minimize the risk of exploitation.