Luelueking

**Nome do software vulnerável e versões afetadas** Versões do Hertzbeat anteriores à 1.4.1 **Descrição** O Hertzbeat é um sistema de monitoramento em tempo real. No `CalculateAlarm.java`, o `AviatorEvaluator` é usado para executar diretamente a função de expressão, e nenhuma política de segurança está configurada, resultando na injeção de script AviatorScript. Isso permite a execução de qualquer método estático por padrão. **Recomendações** Para versões anteriores à 1.4.1, atualize para a versão 1.4.1 para corrigir a vulnerabilidade. Como solução temporária, considere desativar a função `AviatorEvaluator` até que um patch esteja disponível. Restrinja o acesso ao módulo `CalculateAlarm.java` para minimizar o risco de exploração. Evite usar o `AviatorEvaluator` nos pontos de extremidade da API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Hertzbeat anteriores à 1.4.1 **Descrição** O Hertzbeat é um sistema de monitoramento em tempo real. Na implementação de `JmxCollectImpl.java`, o método `JMXConnectorFactory.connect` está vulnerável a injeção JNDI. A interface correspondente é “/api/monitor/detect”. Se houver um campo de URL, o endereço será usado por padrão. Quando a URL é “service:jmx:rmi:///jndi/rmi://xxxxxxx:1099/localHikari”, ela pode ser explorada para causar a execução remota de código. **Recomendações** Para versões anteriores à 1.4.1, atualize para a versão 1.4.1 para resolver o problema. Como solução temporária, considere restringir o acesso à interface `/api/monitor/detect` e evitar o uso da função vulnerável `JMXConnectorFactory.connect` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Hertzbeat anteriores à 1.4.1 **Descrição** O Hertzbeat é um sistema de monitoramento em tempo real. Na interface “/define/yml”, o SnakeYAML é utilizado como analisador para processar o conteúdo YAML, mas não há nenhuma configuração de segurança, o que resulta em uma vulnerabilidade de deserialização YAML. **Recomendações** Para versões anteriores à 1.4.1, atualize para a versão 1.4.1 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à interface “/define/yml” até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** DataEase versions prior to 1.18.7 **Description** A deserialization vulnerability exists in the DataEase datasource, which can be exploited to execute arbitrary code. The issue has been fixed in version 1.18.7. There are no known workarounds aside from upgrading. **Recommendations** For versions prior to 1.18.7, upgrade to version 1.18.7 or later to resolve the issue. As a temporary workaround, consider restricting access to the DataEase datasource until the upgrade can be applied.

**Name of the Vulnerable Software and Affected Versions** beetl version 3.15.0 **Description** An issue in the render function allows attackers to execute server-side template injection (SSTI) via a crafted payload. **Recommendations** For beetl version 3.15.0, consider disabling the render function until a patch is available to prevent server-side template injection (SSTI) attacks. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Databasir version 1.0.7 **Description** The issue is related to a remote code execution (RCE) vulnerability. It can be exploited via the `mockDataScript` parameter. **Recommendations** For Databasir version 1.0.7, consider restricting access to the `mockDataScript` parameter to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** RuoYi versions up to 4.7.5 **Description** The issue is related to a SQL injection vulnerability. It affects the component `/tool/gen/createTable`. **Recommendations** For versions up to 4.7.5, as a temporary workaround, consider restricting access to the `/tool/gen/createTable` component until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** y project RuoYi versão 4.7.5 **Descrição** Foi detectada uma falha crítica no processamento do arquivo com/ruoyi/generator/controller/GenController, levando a uma injeção de SQL. **Recomendações** Para o y project RuoYi versão 4.7.5, recomenda-se aplicar um patch para corrigir este problema. Como solução temporária, considere restringir o acesso ao `GenController` até que um patch esteja disponível.