Jixin Zhang

**Nome do software vulnerável e versões afetadas** SeaCMS versão 12.9 **Descrição** A vulnerabilidade está relacionada à exclusão de arquivos. Ela pode ser explorada por meio do arquivo admin template.php. **Recomendações** Para a versão 12.9 do SeaCMS, considere restringir o acesso ao arquivo admin template.php até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Sistema de Pedidos de Medicamentos Online Sourcecodester, versão 1.0 **Descrição** A vulnerabilidade permite a exclusão arbitrária de arquivos devido a uma função nas configurações do backend capaz de excluir quaisquer arquivos, inicialmente destinada à exclusão de imagens. **Recomendações** Para o Sistema de Encomenda de Medicamentos Online Sourcecodester versão 1.0, considere restringir o acesso à função de exclusão de arquivos nas configurações de back-end para minimizar o risco de exploração. Como solução temporária, limite a capacidade de excluir arquivos apenas ao pessoal ou funções necessárias até que uma correção mais permanente esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** BOSSCMS versão 3.10 **Descrição** Uma vulnerabilidade de Cross Site Scripting (XSS) permite que invasores executem código arbitrário por meio dos campos `header code` e `footer code` na configuração de código. Isso permite que invasores executem scripts maliciosos no sistema afetado. **Recomendações** Para o BOSSCMS versão 3.10, como solução temporária, considere restringir o acesso aos campos de configuração de código, especificamente os campos `header code` e `footer code`, até que um patch esteja disponível. Evite usar esses campos para inserir dados não confiáveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SEMCMS versão 4.8 **Descrição** Uma falha no SEMCMS permite que invasores remotos executem código arbitrário, elevem privilégios e obtenham informações confidenciais por meio do arquivo `upload.php`. **Recomendações** Para o SEMCMS versão 4.8, considere desativar o acesso ao arquivo `upload.php` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a informações confidenciais e privilégios para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SEMCMS versão 4.8 **Descrição** A falha permite que um invasor remoto obtenha informações confidenciais por meio do parâmetro `lgid` no arquivo Banner.php. Isso ocorre devido a uma vulnerabilidade de injeção de SQL. **Recomendações** Para o SEMCMS versão 4.8, considere restringir o acesso ao arquivo Banner.php ou ao parâmetro `lgid` para minimizar o risco de exploração até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `lgid` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** emlog versão Pro 2.3 **Descrição** A vulnerabilidade permite que invasores remotos executem código arbitrário por meio de uma carga maliciosa inserida na parte inferior da página inicial, no parâmetro `footer info`. Trata-se de uma vulnerabilidade do tipo Cross Site Scripting (XSS). **Recomendações** Para a versão Pro 2.3 do emlog, considere restringir o acesso ao parâmetro `footer info` para minimizar o risco de exploração. Evite usar o parâmetro `footer info` até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SEMCMS versão 4.8 **Descrição** A falha permite que um invasor remoto obtenha informações confidenciais por meio do parâmetro `ID` no arquivo Banner.php. Isso ocorre devido a uma vulnerabilidade de injeção de SQL. **Recomendações** Para o SEMCMS versão 4.8, considere restringir o acesso ao arquivo Banner.php até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro `ID` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** beescms versão 4.0 **Descrição** A vulnerabilidade permite que um invasor remoto execute código arbitrário por meio de um caminho de arquivo que não foi isolado e cujo sufixo não foi verificado no arquivo admin template.php. Trata-se de uma vulnerabilidade de gravação arbitrária de arquivos. **Recomendações** Para o beescms versão 4.0, atualize para uma versão em que o isolamento do caminho do arquivo e a verificação do sufixo tenham sido implementados corretamente no arquivo admin template.php para impedir gravações arbitrárias de arquivos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.