Mhkd

Nome do Software Vulnerável e Versões Afetadas: HJSoft HCM Human Resources Management System versões anteriores a 20250823 Descrição: Existe uma vulnerabilidade de injeção de SQL no HJSoft HCM Human Resources Management System. A vulnerabilidade está localizada em uma funcionalidade desconhecida do arquivo `/templates/attestation/../../selfservice/lawresource/downlawbase`. A manipulação do argumento `ID` pode levar à exploração. A exploração remota é possível. Os detalhes do exploit foram divulgados publicamente. Recomendações: Em versões anteriores a 20250823, sanitize ou valide o argumento `ID` para prevenir injeção de SQL.

**Nome do Software Vulnerável e Versões Afetadas** Brilliance Golden Link Secondary System até 20250609 **Descrição** Uma falha crítica afeta alguma funcionalidade desconhecida do arquivo /storagework/rentTakeInfoPage.htm, na qual a manipulação do argumento `custTradeName` resulta em SQL Injection. O ataque pode ser executado remotamente. **Recomendações** Para o Brilliance Golden Link Secondary System até 20250609, como medida de contorno temporária, considere restringir o acesso ao parâmetro `custTradeName` no arquivo afetado /storagework/rentTakeInfoPage.htm para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Brilliance Golden Link Secondary System até 20250609 **Descrição** Uma vulnerabilidade crítica foi encontrada no Brilliance Golden Link Secondary System. O problema afeta uma parte desconhecida do arquivo /storagework/custTakeInfoPage.htm. A manipulação do argumento `custTradeName` leva à injeção de SQL. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para o Brilliance Golden Link Secondary System até 20250609, como solução temporária, considere restringir o acesso ao arquivo `/storagework/custTakeInfoPage.htm` e evitar usar o parâmetro `custTradeName` no endpoint afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Golden Link Secondary System up to 20250424 **Description** A critical issue has been found in the Golden Link Secondary System, affecting some unknown processing of the file /reprotframework/tcEntrFlowSelect.htm. The manipulation of the `custTradeId` argument leads to SQL injection. The attack may be initiated remotely. **Recommendations** For Golden Link Secondary System up to 20250424, consider restricting access to the /reprotframework/tcEntrFlowSelect.htm file until a patch is available. As a temporary workaround, avoid using the `custTradeId` argument in the affected file to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Golden Link Secondary System versões anteriores a 20250425 **Descrição** Existe uma vulnerabilidade crítica no Golden Link Secondary System. A manipulação do argumento `dictCn1` em uma função desconhecida dentro do arquivo `/paraframework/queryTsDictionaryType.htm` resulta em uma injeção de SQL. Isso permite ataques remotos. O exploit para esta vulnerabilidade foi divulgado publicamente. **Recomendações** Versões anteriores a 20250425 devem ser atualizadas. Como medida paliativa temporária, considere restringir o acesso ao arquivo `/paraframework/queryTsDictionaryType.htm` para minimizar o risco de exploração. Evite utilizar o parâmetro `dictCn1` até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Anhui Xufan Information Technology EasyCVR versões até 2.7.0 **Descrição** Uma vulnerabilidade foi encontrada no arquivo `/api/v1/getbaseconfig`, afetando código desconhecido e resultando em divulgação de informações. O ataque pode ser realizado remotamente. O exploit foi tornado público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para as versões do Anhui Xufan Information Technology EasyCVR até 2.7.0, como medida temporária, considere restringir o acesso ao endpoint da API `/api/v1/getbaseconfig` até que uma correção esteja disponível. Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.