Lvzc

**Nome do Software Vulnerável e Versões Afetadas** wuzhicms versão 4.1.0 **Descrição** Foi identificado um problema no teste de função do arquivo coreframe/app/search/admin/config.php. A manipulação do argumento `sphinxhost`/`sphinxport` leva à falsificação de solicitação no lado do servidor. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para o wuzhicms versão 4.1.0, como medida temporária, considere restringir o acesso ao arquivo `config.php` no diretório `coreframe/app/search/admin` até que um patch esteja disponível. Evite utilizar os argumentos `sphinxhost` e `sphinxport` no teste de função afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Fanli2012 native-php-cms versão 1.0 **Descrição** Foi encontrado um problema crítico no software, afetando alguma funcionalidade desconhecida do arquivo /fladmin/cat edit.php. A manipulação do argumento `id` leva à Injeção de SQL. Este problema pode ser explorado remotamente. **Recomendações** Para o Fanli2012 native-php-cms versão 1.0, como uma medida de contorno temporária, considere restringir o acesso ao arquivo /fladmin/cat edit.php até que um patch esteja disponível. Evite usar o argumento `id` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Fanli2012 native-php-cms versão 1.0 **Descrição** Uma vulnerabilidade crítica foi identificada no software, afetando uma funcionalidade desconhecida do arquivo /fladmin/login.php. A manipulação do argumento `username` resulta em Injeção de SQL. Esta vulnerabilidade pode ser explorada remotamente. **Recomendações** Para o Fanli2012 native-php-cms versão 1.0, como medida temporária, considere restringir o acesso ao arquivo /fladmin/login.php até que um patch esteja disponível. Evite utilizar o argumento `username` na funcionalidade de login afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Fanli2012 native-php-cms versão 1.0 **Descrição** Um problema foi encontrado no software. Ele afeta uma função desconhecida do arquivo /fladmin/sysconfig doedit.php. O problema surge da manipulação do argumento `info`, levando a ataques de cross-site scripting. Esses ataques podem ser lançados remotamente. **Recomendações** Para o Fanli2012 native-php-cms versão 1.0, como uma solução temporária, considere restringir o acesso ao arquivo /fladmin/sysconfig doedit.php até que um patch esteja disponível. Evite manipular o argumento `info` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Fanli2012 native-php-cms version 1.0 **Description** A critical issue affects the processing of the file /fladmin/sysconfig doedit.php in the Backend component, leading to improper authorization. The attack can be initiated remotely. **Recommendations** For Fanli2012 native-php-cms version 1.0, as a temporary workaround, consider restricting access to the /fladmin/sysconfig doedit.php file until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Fanli2012 native-php-cms versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no arquivo /fladmin/jump.php, afetando código desconhecido. A manipulação do parâmetro `message/error` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o Fanli2012 native-php-cms versão 1.0, considere desabilitar o acesso ao arquivo /fladmin/jump.php até que um patch esteja disponível. Como solução temporária (workaround), evite utilizar o parâmetro `message/error` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Fanli2012 native-php-cms versão 1.0 **Descrição** Uma vulnerabilidade crítica foi identificada no software, afetando uma parte desconhecida do arquivo /fladmin/user recoverpwd.php. A manipulação resulta no uso de credenciais padrão. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para o Fanli2012 native-php-cms versão 1.0, considere desabilitar o acesso ao arquivo /fladmin/user recoverpwd.php até que um patch esteja disponível. Restrinja o uso de credenciais padrão para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** reckcn SPPanAdmin versão 1.0 **Descrição** Foi identificada uma vulnerabilidade de cross-site scripting no software, permitindo exploração remota. A manipulação do argumento `name` no arquivo "/;/admin/role/edit" leva a esse problema. Outros parâmetros também podem estar afetados. O exploit foi divulgado publicamente e o fornecedor foi notificado, mas não respondeu. **Recomendações** Como solução temporária, considere desabilitar o acesso ao arquivo "/;/admin/role/edit" até que um patch esteja disponível. Restrinja a manipulação do argumento `name` no arquivo afetado para minimizar o risco de exploração. Evite usar o argumento `name` no arquivo "/;/admin/role/edit" até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** wangl1989 mysiteforme versão 1.0 **Descrição** Um problema foi encontrado na função `RestResponse` do arquivo `src/main/java/com/mysiteforme/admin/controller/system/SiteController`. A manipulação resulta em cross-site scripting. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para a versão 1.0, como medida temporária, considere desativar a função `RestResponse` até que um patch esteja disponível. Restrinja o acesso ao `SiteController` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ZeroWdd studentmanager versão 1.0 **Descrição** Uma vulnerabilidade crítica foi encontrada no ZeroWdd studentmanager, afetando a função `addTeacher/editTeacher` do arquivo `src/main/Java/com/wdd/studentmanager/controller/TeacherController.java`. A manipulação do argumento `file` resulta em upload irrestrito. É possível lançar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Como solução temporária, considere desativar a função `addTeacher/editTeacher` até que um patch esteja disponível. Restrinja o acesso ao `TeacherController` para minimizar o risco de exploração. Evite usar o argumento `file` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** wangl1989 mysiteforme versão 1.0 **Descrição** Um problema crítico afeta a função `rememberMeManager` no arquivo `src/main/java/com/mysiteforme/admin/config/ShiroConfig.java`. A manipulação resulta em desserialização. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para a versão 1.0, como uma medida de contorno temporária, considere desativar a função `rememberMeManager` até que um patch esteja disponível. Restrinja o acesso ao arquivo `ShiroConfig.java` para minimizar o risco de exploração. Evite utilizar a funcionalidade de desserialização na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** wangl1989 mysiteforme versão 1.0 **Descrição** Um problema crítico foi encontrado na função de upload de arquivos da classe `LocalUploadServiceImpl`, localizada em `src/main/java/com/mysiteform/admin/service/ipl/`. A manipulação do argumento `test` resulta em upload de arquivos sem restrições. Este problema pode ser explorado remotamente. O exploit foi divulgado publicamente. **Recomendações** Para a versão 1.0, como medida paliativa temporária, considere desabilitar a função de upload de arquivos em `LocalUploadServiceImpl` até que um patch esteja disponível. Restrinja o acesso ao argumento `test` para minimizar o risco de exploração. Evite usar o argumento `test` na funcionalidade de upload de arquivos afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** wangl1989 mysiteforme versão 1.0 **Descrição** Um problema crítico afeta a função `doContent` do arquivo `src/main/java/com/mysiteform/admin/controller/system/FileController`. A manipulação do argumento `content` leva à falsificação de solicitação no lado do servidor. O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para a versão 1.0, como uma solução temporária, considere desativar a função `doContent` até que um patch esteja disponível. Restrinja o acesso ao `FileController` para minimizar o risco de exploração. Evite usar o argumento `content` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ZeroWdd studentmanager versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no ZeroWdd studentmanager, afetando a função `submitAddRole` do arquivo `src/main/java/com/zero/system/controller/RoleController.java`. A manipulação do argumento `name` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o ZeroWdd studentmanager versão 1.0, como uma medida de contorno temporária, considere desativar a função `submitAddRole` até que um patch esteja disponível. Restrinja o acesso ao módulo `RoleController` para minimizar o risco de exploração. Evite usar o argumento `name` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Beijing Yunfan Internet Technology Yunfan Learning Examination System versão 1.9.2 **Descrição** Uma vulnerabilidade crítica foi encontrada no Beijing Yunfan Internet Technology Yunfan Learning Examination System. O problema afeta uma funcionalidade desconhecida do arquivo `src/main/java/com/yf/exam/modules/sys/user/controller/SysUserControl` do componente JWT Token Handler, resultando em autenticação inadequada. O ataque pode ser lançado remotamente, com complexidade bastante alta, tornando a exploração difícil. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para a versão 1.9.2, considere desativar temporariamente o componente JWT Token Handler até que um patch esteja disponível. Restrinja o acesso ao arquivo `src/main/java/com/yf/exam/modules/sys/user/controller/SysUserControl` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sistema de Exame de Aprendizagem Yunfan da Beijing Yunfan Internet Technology versão 1.9.2 **Descrição** Foi identificada uma falha no Sistema de Exame de Aprendizagem Yunfan da Beijing Yunfan Internet Technology. Ela afeta uma função desconhecida do arquivo src/main/java/com/yf/exam/modules/paper/controller/PaperController.java, que faz parte do componente de Manipulação de Respostas do Exame. Esta falha resulta em divulgação de informações e pode ser explorada remotamente. O exploit foi tornado público. **Recomendações** Para a versão 1.9.2, considere restringir o acesso ao componente de Manipulação de Respostas do Exame até que um patch esteja disponível. Como solução temporária (workaround), evite usar a função afetada no arquivo PaperController.java para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Beijing Yunfan Internet Technology Yunfan Learning Examination System versão 1.9.2 **Descrição** Um problema crítico foi encontrado no sistema, afetando algum processamento desconhecido do arquivo `/doc.html`. A manipulação resulta em autorização inadequada. O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para a versão 1.9.2, considere restringir o acesso ao arquivo `/doc.html` até que um patch esteja disponível. Como medida temporária, revise e limite os processos de autorização para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Tongda OA, versões 11.2 a 11.6 **Descrição** Foi identificada uma vulnerabilidade crítica no Tongda OA, afetando código não identificado do arquivo general/hr/setting/attendance/leave/data.php do componente Annual Leave Handler. A manipulação leva a uma autorização indevida, permitindo ataques remotos. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para as versões 11.2 a 11.6 do Tongda OA, atualize imediatamente para a versão corrigida mais recente a fim de mitigar os riscos. Como solução temporária, considere restringir o acesso ao componente Annual Leave Handler até que uma correção esteja disponível. Além disso, verifique os logs de auditoria em busca de sinais de exploração.

**Nome do software vulnerável e versões afetadas** wuzhicms versão 4.1.0 **Descrição** Foi identificada uma falha crítica que afeta a função `add/edit` do arquivo `www/coreframe/app/content/admin/block.php`. Isso permite a injeção de código e pode ser explorado remotamente. A falha foi divulgada publicamente, e o fornecedor foi contatado, mas não respondeu. **Recomendações** Para o wuzhicms versão 4.1.0, considere desativar a função `add/edit` no arquivo `www/coreframe/app/content/admin/block.php` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a essa função para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZZCMS versão 2023 **Descrição** Uma falha crítica afeta o processamento do arquivo 3/Ebak5.1/upload/ChangeTable.php, onde a manipulação do argumento `savefilename` permite o upload irrestrito. O ataque pode ser iniciado remotamente. **Recomendações** Para a versão 2023 do ZZCMS, considere restringir o acesso ao arquivo ChangeTable.php para minimizar o risco de exploração. Como solução temporária, evite usar o argumento `savefilename` no arquivo afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.