Jinnywco

**Nome do software vulnerável e versões afetadas** Jeecg-boot versão 3.0 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL no Jeecg-boot por meio do parâmetro `code` no endpoint da API “/jeecg-boot/sys/user/queryUserByDepId”. **Recomendações** Para o Jeecg-boot versão 3.0, considere restringir o acesso ao endpoint da API “/jeecg-boot/sys/user/queryUserByDepId” para minimizar o risco de exploração. Evite usar o parâmetro `code` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GetSimple CMS versão 3.4.0a Descrição: Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa criada no módulo Edit Snippets, visando especificamente o endpoint /admin/snippets.php. O módulo `Edit Snippets` está vulnerável a essa falha, permitindo potencialmente que invasores injetem scripts maliciosos. Recomendações: Para o GetSimple CMS versão 3.4.0a, considere desativar o módulo Edit Snippets até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de XSS armazenado. Restrinja o acesso ao endpoint /admin/snippets.php para minimizar o risco de execução de scripts web arbitrários. Evite usar o módulo Edit Snippets com entradas não confiáveis até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas: PopojiCMS versão 1.2 Descrição: Uma falha de divulgação de informações no arquivo upload.php do PopojiCMS leva à divulgação do caminho físico do servidor. Isso ocorre quando a variável `name` é igual a `“file”` e é excluída durante o upload de arquivos, especificamente através do endpoint “upload.php”. Recomendações: Para o PopojiCMS versão 1.2, como solução temporária, considere restringir o acesso ao arquivo upload.php até que um patch esteja disponível. Evite usar a variável `name` com o valor `“file”` no processo de upload para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Wage-CMS versão 1.5.x-dev Descrição: Uma vulnerabilidade do tipo falsificação de solicitação entre sites (CSRF) permite que invasores adicionem usuários arbitrariamente. Isso pode ser explorado induzindo um usuário a realizar ações indesejadas na aplicação web. Recomendações: Para o Wage-CMS versão 1.5.x-dev, como solução temporária, considere implementar verificações de validação adicionais nas solicitações dos usuários para impedir ações não autorizadas até que um patch esteja disponível. Restrinja o acesso à funcionalidade de gerenciamento de usuários para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: jeecg-boot CMS versão 2.3 Descrição: Uma vulnerabilidade de injeção de SQL no endpoint “/jeecg-boot/sys/dict/loadtreedata” do jeecg-boot CMS permite que invasores acessem informações confidenciais do banco de dados. Recomendações: Para o jeecg-boot CMS versão 2.3, considere restringir o acesso ao endpoint “/jeecg boot/sys/dict/loadtreedata” até que uma correção esteja disponível. Como solução temporária, evite usar consultas confidenciais ao banco de dados neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** PopojiCMS version 1.2 **Description** The issue exists due to a lack of protection for the web page structure in the /admin.php?mod=user&act=addnew endpoint of the content management system. This allows a remote attacker to execute arbitrary web or HTML scripts by using a specially crafted payload. The vulnerability can be exploited via the E-Mail field, enabling attackers to execute arbitrary web scripts or HTML. **Recommendations** For PopojiCMS version 1.2, as a temporary workaround, consider disabling the /admin.php?mod=user&act=addnew endpoint until a patch is available. Restrict access to this endpoint to minimize the risk of exploitation. Avoid using the E-Mail field in the affected endpoint until the issue is resolved.