Ka7Arotto

**Nome do Software Vulnerável e Versões Afetadas** Langroid versões anteriores a 0.63.0 **Description** O SQLChatAgent executa SQL produzido por um Modelo de Linguagem Grande (LLM), que pode ser influenciado por injeção de prompt. Quando configurado com uma função de banco de dados que possui privilégios para execução de código ou acesso ao sistema de arquivos (como PostgreSQL `pg execute server program`, MySQL `FILE` ou MSSQL `xp cmdshell`), um invasor pode moldar a entrada do agente — inclusive indiretamente via dados retornados ao LLM — para forçar a execução de primitivas específicas do dialeto, como `COPY ... FROM PROGRAM`. Isso pode resultar em execução remota de código (RCE) no host do banco de dados. **Recommendations** Atualize para a versão 0.63.0. Certifique-se de que a variável `allow dangerous operations` esteja definida como `False` para manter a lista de permissões de instruções apenas de SELECT e a lista de bloqueio de padrões perigosos.

**Nome do Software Vulnerável e Versões Afetadas** SQLBot versões anteriores a 1.7.1 **Descrição** A interface de chat Text2SQL é suscetível a injeção de prompt. O parâmetro `question` é concatenado ao prompt do Large Language Model (LLM) sem filtragem ou escape, e o SQL resultante é executado no banco de dados sem validação ou sanitização. Um invasor autenticado pode manipular o LLM para gerar e executar instruções SQL arbitrárias. Se conectado a uma fonte de dados PostgreSQL, isso pode levar à execução remota de código por meio do comando COPY FROM PROGRAM. **Recomendações** Atualizar para a versão 1.7.1.

**Nome do Software Vulnerável e Versões Afetadas** FoxCMS versão 1.2.5 **Descrição** O problema está relacionado a uma vulnerabilidade de upload de arquivo arbitrário no componente controllerLocalTemplate.php. Esta vulnerabilidade permite que invasores executem código arbitrário ao fazer upload de um arquivo Zip manipulado. **Recomendações** Para o FoxCMS versão 1.2.5, atualize para uma versão que corrija este problema para prevenir a execução de código arbitrário.

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.3 **Descrição** Uma vulnerabilidade de execução remota de código foi identificada no SeaCMS, permitindo que atacantes executem código remotamente por meio do parâmetro `isopen` no endpoint "admin weixin.php". **Recomendações** Para a versão 13.3 do SeaCMS, considere restringir o acesso ao endpoint "admin weixin.php" até que um patch esteja disponível e evite utilizar o parâmetro `isopen` neste endpoint para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.3 **Descrição** Foi descoberta uma falha de execução remota de código no componente admin notify.php, permitindo a potencial execução de código. **Recomendações** Para o SeaCMS versão 13.3, atualize para uma versão mais recente que contenha uma correção para este problema ou, como uma solução alternativa temporária, considere restringir o acesso ao componente admin notify.php para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.3 **Descrição** Foi descoberta uma vulnerabilidade de execução remota de código no componente admin ping.php, permitindo a possível execução de código. **Recomendações** Para a versão 13.3 do SeaCMS, considere desabilitar o acesso ao componente admin ping.php até que um patch esteja disponível. Restrinja o acesso a este componente para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.3 **Descrição** Uma falha de execução remota de código foi descoberta no componente admin template.php, permitindo a potencial execução de código. **Recomendações** Para a versão 13.3 do SeaCMS, atualize para uma versão mais recente que contenha uma correção para esta falha, ou, como solução temporária, considere restringir o acesso ao componente admin template.php para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.3 **Descrição** Uma falha de execução remota de código foi descoberta no componente admin smtp.php, permitindo a potencial execução de código. **Recomendações** Para o SeaCMS versão 13.3, atualize para uma versão que inclua uma correção para este problema, pois o uso do componente vulnerável admin smtp.php pode representar um risco. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Emlog Pro versão 2.5.3 **Descrição** O problema está relacionado a uma vulnerabilidade de upload arbitrário de arquivos no componente admin/plugin.php. Esta vulnerabilidade permite que atacantes executem código arbitrário ao fazerem upload de um arquivo Zip manipulado. **Recomendações** Para o Emlog Pro versão 2.5.3, considere desativar a funcionalidade de upload de arquivos no componente admin/plugin.php até que um patch esteja disponível para prevenir a exploração.

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.3 **Descrição** Foi descoberta uma vulnerabilidade de execução remota de código no componente admin ip.php, permitindo a possível execução de código. **Recomendações** Para o SeaCMS versão 13.3, atualize para uma versão mais recente que contenha uma correção para este problema ou, como solução temporária, considere restringir o acesso ao componente admin ip.php para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** SeaCMS version 13.3 **Description** A remote code execution issue was discovered in the admin files.php component, allowing for potential code execution. **Recommendations** For SeaCMS version 13.3, update to a newer version that contains a fix for this issue, as using the vulnerable admin files.php component may pose a risk. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Emlog Pro versão 2.5.4 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que atacantes executem scripts web ou HTML arbitrários injetando um payload manipulado na função `postStrVar` no endpoint "article save.php". **Recomendações** Para o Emlog Pro versão 2.5.4, atualize para uma versão que corrija este problema, pois a versão atual permite a execução de scripts web ou HTML arbitrários, representando um risco de segurança significativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Emlog Pro versão 2.5.4 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que atacantes executem scripts web ou HTML arbitrários injetando um payload manipulado no campo `Título` na seção de categoria de artigos. **Recomendações** Para o Emlog Pro versão 2.5.4, atualize para uma versão que corrija este problema para prevenir a execução de scripts web ou HTML arbitrários.

**Nome do Software Vulnerável e Versões Afetadas** Emlog Pro versão 2.5.4 **Descrição** Uma vulnerabilidade de Server-Side Request Forgery (SSRF) no componente `sort.php` permite que atacantes escaneiem portas locais e internas ao fornecer uma URL manipulada. **Recomendações** Para o Emlog Pro versão 2.5.4, atualize para uma versão mais recente que contenha uma correção para este problema, pois o uso de uma URL manipulada pode levar ao escaneamento de portas locais e internas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.3 **Descrição** O problema está relacionado a uma vulnerabilidade de leitura arbitrária de arquivos na função `file get contents` em `admin safe file.php`. **Recomendações** Para a versão 13.3 do SeaCMS, considere restringir o acesso ao arquivo `admin safe file.php` até que um patch esteja disponível. Como solução temporária, evite utilizar a função `file get contents` no arquivo afetado para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** FoxCMS versão 1.2.5 **Descrição** Uma falha de execução remota de código foi encontrada no FoxCMS através do método index() em controllerSitemap.php. **Recomendações** Para o FoxCMS versão 1.2.5, considere desativar o método index() em controllerSitemap.php como uma medida de contorno temporária até que um patch esteja disponível.