Matan Sandori

Name of the Vulnerable Software and Affected Versions HerikLyma CPPWebFramework versões até 3.1 Description Um problema de traversal de caminho existe no HerikLyma CPPWebFramework até a versão 3.1 devido à manipulação de algum processamento desconhecido. A exploração remota é possível. O exploit está publicamente disponível. Recommendations Atualize para uma versão mais recente do HerikLyma CPPWebFramework que resolva este problema de traversal de caminho.

**Name of the Vulnerable Software and Affected Versions** higuma web-audio-recorder-js versions 0.1 and 0.1.1 **Description** A flaw exists in the `extend` function within the `lib/WebAudioRecorder.js` library, specifically in the Dynamic Config Handling component. This allows for improper modification of object prototype attributes. The issue is remotely exploitable, but requires a high level of complexity to successfully execute. The exploit is publicly available. The vendor was notified but did not respond. **Recommendations** Update to a newer version of higuma web-audio-recorder-js that addresses this issue. As a temporary workaround, consider avoiding the use of the `extend` function within the `lib/WebAudioRecorder.js` library.

**Nome do Software Vulnerável e Versões Afetadas** Versões do dotCMS 24.03.22 e posteriores **Descrição** Existe uma vulnerabilidade de injeção de SQL cega baseada em booleanos no endpoint `/api/v1/contenttype`. O endpoint utiliza o parâmetro de consulta `sites`, que aceita uma lista separada por vírgulas de identificadores ou chaves de site. O parâmetro `sites` é concatenado diretamente em uma consulta SQL sem a devida sanitização, permitindo que um atacante autenticado com baixos privilégios extraia dados do banco de dados, realize escalonamento de privilégios ou acione condições de negação de serviço. A exploração foi verificada usando ferramentas como o SQLMap, permitindo a exfiltração completa do banco de dados e potenciais condições de negação de serviço via payloads manipulados. **Recomendações** Atualize para a versão 25.08.14 ou posterior do dotCMS. Atualize para a versão 25.07.10-1v2 LTS ou posterior do dotCMS. Atualize para a versão 24.12.27v10 LTS ou posterior do dotCMS. Atualize para a versão 24.04.24v21 LTS ou posterior do dotCMS.