Lvzc1

**Name of the Vulnerable Software and Affected Versions** Fanli2012 native-php-cms version 1.0 **Description** A critical vulnerability has been found in the product list.php file of Fanli2012 native-php-cms. The issue is related to the manipulation of the `cat` argument, which leads to SQL injection. This can be exploited remotely. The exploit has been publicly disclosed. **Recommendations** For Fanli2012 native-php-cms version 1.0, consider restricting access to the product list.php file or disabling the manipulation of the `cat` argument to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Fanli2012 native-php-cms versão 1.0 **Descrição** Um problema crítico foi identificado no software, afetando uma função desconhecida do arquivo /fladmin/cat dodel.php. A manipulação do argumento `id` resulta em Injeção de SQL. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o Fanli2012 native-php-cms versão 1.0, como medida de contorno temporária, considere restringir o acesso ao arquivo /fladmin/cat dodel.php até que uma correção esteja disponível. Evite utilizar o argumento `id` na função afetada para minimizar o risco de exploração. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Fanli2012 native-php-cms versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no processamento do arquivo /fladmin/article dodel.php. A manipulação do argumento `id` resulta em Injeção de SQL. O ataque pode ser iniciado remotamente. A vulnerabilidade foi divulgada publicamente e pode ser explorada. **Recomendações** Para o Fanli2012 native-php-cms versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /fladmin/article dodel.php até que uma correção esteja disponível. Evite utilizar o argumento `id` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Fanli2012 native-php-cms version 1.0 **Description** A critical vulnerability was found in the file /fladmin/friendlink dodel.php, where the manipulation of the `id` argument leads to SQL injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For Fanli2012 native-php-cms version 1.0, as a temporary workaround, consider restricting access to the /fladmin/friendlink dodel.php file until a patch is available. Avoid using the `id` argument in the affected file to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** donglight bookstore Sistema de Livraria de E-commerce versão 1.0 **Descrição** Um problema crítico foi encontrado na função `uploadPicture` da classe `AdminBookController`, localizada no arquivo `src/main/java/org/zdd/bookstore/web/controller/admin/AdminBookController.java`. A manipulação do argumento `pictureFile` resulta em upload irrestrito. Esta vulnerabilidade pode ser explorada remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para a versão 1.0, como solução temporária, considere desabilitar a função `uploadPicture` até que um patch esteja disponível. Restrinja o acesso ao argumento `pictureFile` na função `uploadPicture` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** ZeroWdd myblog versão 1.0 **Descrição** Uma vulnerabilidade crítica foi encontrada no ZeroWdd myblog, afetando uma parte desconhecida do arquivo src/main/java/com/wdd/myblog/config/MyBlogMvcConfig.java. Este problema resulta em problemas de permissão e pode ser explorado remotamente. O exploit foi divulgado publicamente. **Recomendações** Para o ZeroWdd myblog versão 1.0, considere restringir o acesso ao arquivo de configuração afetado src/main/java/com/wdd/myblog/config/MyBlogMvcConfig.java como uma medida temporária até que um patch esteja disponível. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** donglight bookstore versões 1.0.0 **Descrição** Um problema crítico afeta a função `getHtml` do arquivo `src/main/java/org/zdd/bookstore/rawl/HttpUtil.java`. A manipulação do argumento `url` leva à falsificação de solicitação no lado do servidor, permitindo a iniciação de ataques remotos. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para a versão 1.0.0, considere desativar a função `getHtml` até que um patch esteja disponível para prevenir a falsificação de solicitação no lado do servidor. Restrinja o acesso ao arquivo `HttpUtil.java` para minimizar o risco de exploração. Evite usar o argumento `url` na função afetada até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** ZeroWdd myblog versão 1.0 **Descrição** Um problema foi detectado na função de atualização do arquivo src/main/java/com/wdd/myblog/controller/admin/BlogController.java. Este problema resulta em ataques de cross site scripting, que podem ser executados remotamente. O exploit para este problema foi tornado público. **Recomendações** Para o ZeroWdd myblog versão 1.0, como medida temporária, considere desabilitar a função de atualização do arquivo BlogController.java até que um patch esteja disponível. Restrinja o acesso ao arquivo src/main/java/com/wdd/myblog/controller/admin/BlogController.java para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** ZeroWdd myblog versão 1.0 **Descrição** Um problema crítico foi identificado na função de upload do arquivo src/main/java/com/wdd/myblog/controller/admin/uploadController.java. A manipulação do argumento `file` resulta em upload irrestrito. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o ZeroWdd myblog versão 1.0, como medida temporária, considere desativar a função de upload no arquivo `uploadController.java` até que um patch esteja disponível. Restrinja o acesso ao arquivo `src/main/java/com/wdd/myblog/controller/admin/uploadController.java` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** ZeroWdd myblog version 1.0 **Description** A critical issue has been found in the unknown code of the file src/main/resources/mapper/BlogMapper.xml. The manipulation of the `findBlogList` and `getTotalBlogs` arguments leads to xml injection. The attack can be initiated remotely. **Recommendations** For ZeroWdd myblog version 1.0, as a temporary workaround, consider restricting access to the `BlogMapper.xml` file until a patch is available. Avoid using the `findBlogList` and `getTotalBlogs` arguments in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this issue.

**Nome do Software Vulnerável e Versões Afetadas** zhenfeng13 My-Blog versão 1.0 **Descrição** Uma vulnerabilidade crítica foi encontrada na função de upload do arquivo src/main/java/com/site/blog/my/core/controller/admin/uploadController.java. A manipulação do argumento `file` resulta em upload irrestrito. O ataque pode ser executado remotamente. **Recomendações** Para o zhenfeng13 My-Blog versão 1.0, como solução temporária, considere desativar a função de upload no arquivo uploadController.java até que um patch esteja disponível. Restrinja o acesso à funcionalidade de upload para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** zhenfeng13 My-Blog versão 1.0 **Descrição** Uma vulnerabilidade crítica foi encontrada no software. Ela afeta a função `uploadFileByEditomd` no arquivo `src/main/java/com/site/blog/my/core/controller/admin/BlogController.java`. A manipulação do argumento `editormd-image-file` resulta em upload sem restrições. É possível lançar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o zhenfeng13 My-Blog versão 1.0, como medida temporária, considere desativar a função `uploadFileByEditomd` até que um patch esteja disponível. Restrinja o acesso ao argumento `editormd-image-file` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ZeroWdd studentmanager versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada na função `submitAddPermission` do arquivo `PermissionController.java`. A manipulação do argumento `url` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. Outros parâmetros também podem ser afetados. **Recomendações** Para o ZeroWdd studentmanager versão 1.0, considere desativar a função `submitAddPermission` até que um patch esteja disponível para prevenir ataques de cross-site scripting. Restrinja o acesso ao `PermissionController` para minimizar o risco de exploração. Evite usar o argumento `url` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Tongda OA, versões 2017 até 11.10 **Descrição** Foi identificada uma falha crítica no arquivo /pda/reportshop/next detail.php, na qual a manipulação do argumento `repid` leva a uma injeção de SQL. É possível lançar o ataque remotamente. A vulnerabilidade foi divulgada publicamente e pode ser explorada. **Recomendações** Para as versões do Tongda OA de 2017 até 11.10, considere desativar o acesso ao arquivo /pda/reportshop/next detail.php ou restringir o uso do argumento `repid` até que uma correção esteja disponível. Como solução temporária, evite usar o argumento `repid` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Tongda OA 2017 até a versão 11.10 **Descrição** Foi identificada uma vulnerabilidade crítica no Tongda OA, afetando algum processamento desconhecido do arquivo /pda/reportshop/record detail.php. A manipulação do argumento `repid` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o Tongda OA 2017 até a versão 11.10, como solução temporária, considere restringir o acesso ao arquivo /pda/reportshop/record detail.php até que um patch esteja disponível. Evite usar o argumento `repid` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Tongda OA até a 11.10 **Descrição** Foi identificada uma vulnerabilidade crítica no Tongda OA, afetando o arquivo /pda/workflow/check seal.php. A manipulação do argumento `ID` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. **Recomendações** Para as versões do Tongda OA até a 11.10, considere restringir o acesso ao arquivo /pda/workflow/check seal.php até que um patch esteja disponível. Como solução temporária, evite usar o argumento `ID` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Tongda OA até a 11.9 **Descrição** Foi encontrada uma falha crítica no Tongda OA, afetando o arquivo /pda/workflow/webSignSubmit.php. A manipulação do argumento `saleId` leva a uma injeção de SQL. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para as versões do Tongda OA até a 11.9, como solução temporária, considere restringir o acesso ao arquivo `/pda/workflow/webSignSubmit.php` até que um patch esteja disponível. Evite usar o argumento `saleId` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Versões do Tongda OA 2017 até a 11.10 **Descrição** Uma falha crítica afeta uma funcionalidade desconhecida do arquivo /general/approve center/query/list/input form/delete data attach.php. A manipulação do argumento `RUN ID` leva a uma injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para as versões do Tongda OA 2017 até a 11.10, restrinja o acesso ao arquivo vulnerável /general/approve center/query/list/input form/delete data attach.php para minimizar o risco de exploração. Como solução temporária, considere restringir o uso do parâmetro `RUN ID` no arquivo afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Tongda OA 2017 até a versão 11.9 **Descrição** Uma falha crítica afeta uma funcionalidade desconhecida do arquivo /general/approve center/list/input form/data picker link.php. A manipulação do argumento `dataSrc` leva a uma injeção de SQL. O ataque pode ser lançado remotamente. **Recomendações** Para o Tongda OA 2017 até a versão 11.9, atualize para a versão corrigida mais recente para mitigar os riscos. Como solução temporária, considere restringir o acesso ao arquivo vulnerável /general/approve center/list/input form/data picker link.php até que uma correção esteja disponível. Evite usar o argumento `dataSrc` na funcionalidade afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Tongda OA, versões 2017 até 11.10 **Descrição** Foi identificada uma falha crítica no Tongda OA, afetando uma funcionalidade desconhecida do arquivo /general/address/private/address/query/delete.php. A manipulação do argumento `where repeat` leva a uma injeção de SQL. O ataque pode ser lançado remotamente. **Recomendações** Para as versões do Tongda OA de 2017 até 11.10, atualize para uma versão que não seja afetada por este problema. Como solução temporária, considere restringir o acesso ao arquivo /general/address/private/address/query/delete.php até que um patch esteja disponível. Evite usar o argumento `where repeat` no arquivo afetado até que o problema seja resolvido.