Mr-Xn

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** Verificou-se que mensagens de erro no RuvarOA revelavam o caminho físico do site, especificamente no endpoint /WorkFlow/OfficeFileUpdate.aspx. Esse problema pode permitir que invasores gravem arquivos no servidor ou executem comandos arbitrários por meio de instruções SQL maliciosas. **Recomendações** Para as versões 6.01 a 12.01, considere restringir o acesso ao endpoint /WorkFlow/OfficeFileUpdate.aspx até que uma correção esteja disponível. Como solução temporária, evite usar instruções SQL maliciosas que possam explorar essa vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL por meio do parâmetro `filename` no endpoint da API “/WorkFlow/OfficeFileDownload.aspx”. **Recomendações** Para as versões 6.01 a 12.01, considere restringir o acesso ao endpoint “/WorkFlow/OfficeFileDownload.aspx” até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `filename` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL por meio do parâmetro `project id` no endpoint da API “/ProjectManage/pm gatt inc.aspx”. Isso permite uma possível exploração. Não há informações disponíveis sobre o número estimado de dispositivos afetados ou incidentes reais. **Recomendações** Para as versões 6.01 a 12.01 do RuvarOA, considere restringir o acesso ao endpoint “/ProjectManage/pm gatt inc.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `project id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `id` no endpoint da API “/PersonalAffair/worklog template show.aspx”. **Recomendações** Para as versões 6.01 a 12.01 do RuvarOA, considere restringir o acesso ao endpoint da API “/PersonalAffair/worklog template show.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `id` no endpoint da API “/PersonalAffair/worklog template show.aspx”. **Recomendações** Para as versões 6.01 a 12.01 do RuvarOA, considere restringir o acesso ao endpoint da API “/PersonalAffair/worklog template show.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `id` no endpoint da API “/WorkFlow/wf office file history show.aspx”. **Recomendações** Para as versões 6.01 a 12.01, considere restringir o acesso ao endpoint da API “/WorkFlow/wf office file history show.aspx” para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `id` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `PageID` no endpoint da API “/WebUtility/get find condiction.aspx”. **Recomendações** Para as versões 6.01 a 12.01, considere restringir o acesso ao endpoint da API “/WebUtility/get find condiction.aspx” para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `PageID` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio do parâmetro `PageID` no endpoint da API “/WebUtility/SearchCondiction.aspx”. **Recomendações** Para as versões 6.01 a 12.01, considere restringir o acesso ao endpoint da API “/WebUtility/SearchCondiction.aspx” para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `PageID` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL por meio do parâmetro `bt id` no endpoint da API “/include/get dict.aspx”. Isso permite uma possível exploração. Não há informações disponíveis sobre o número estimado de dispositivos afetados ou incidentes reais. **Recomendações** Para as versões 6.01 a 12.01 do RuvarOA, considere restringir o acesso ao endpoint da API “/include/get dict.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `bt id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `sys file storage id` no endpoint da API “/WorkFlow/wf work finish file down.aspx”. **Recomendações** Para as versões 6.01 a 12.01, considere restringir o acesso ao endpoint de API vulnerável “/WorkFlow/wf work finish file down.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `sys file storage id` no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do argumento `tbTable` no endpoint da API “/WebUtility/MF.aspx”. **Recomendações** Para as versões 6.01 a 12.01, como solução temporária, considere restringir o acesso ao endpoint da API `/WebUtility/MF.aspx` para minimizar o risco de exploração. Evite usar o argumento `tbTable` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `template id` no endpoint da API “/WorkFlow/wf get fields approve.aspx”. **Recomendações** Para as versões 6.01 a 12.01 do RuvarOA, considere restringir o acesso ao endpoint “/WorkFlow/wf get fields approve.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `template id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL por meio do parâmetro `idlist` no endpoint da API “/WorkFlow/wf work print.aspx”. Isso permite uma possível exploração. **Recomendações** Para as versões 6.01 a 12.01, considere restringir o acesso ao endpoint da API “/WorkFlow/wf work print.aspx” para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `idlist` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio do parâmetro `id` no endpoint da API “/SysManage/sys blogtemplate new.aspx”. **Recomendações** Para as versões 6.01 a 12.01 do RuvarOA, considere restringir o acesso ao endpoint “/SysManage/sys blogtemplate new.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `txt keyword` no endpoint “get company.aspx”. **Recomendações** Para as versões 6.01 a 12.01, como solução temporária, considere restringir o acesso ao endpoint “get company.aspx” até que um patch esteja disponível. Evite usar o parâmetro `txt keyword` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** RuvarOA, versões 6.01 a 12.01 **Descrição** Foi descoberta uma vulnerabilidade de injeção de SQL por meio do parâmetro `office missive id` no endpoint da API “/WorkFlow/wf work form save.aspx”. Isso permite que invasores injetem código SQL malicioso. **Recomendações** Para as versões 6.01 a 12.01, aplique a correção imediatamente e revise o código para garantir a validação adequada de entradas, a fim de impedir a exploração do parâmetro `office missive id` no endpoint da API “/WorkFlow/wf work form save.aspx”. Como solução temporária, considere restringir o acesso ao endpoint vulnerável “/WorkFlow/wf work form save.aspx” até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL por meio do parâmetro `file id` no endpoint da API “/filemanage/file memo.aspx”. Isso permite uma possível exploração. **Recomendações** Para as versões 6.01 a 12.01, como solução temporária, considere restringir o acesso ao endpoint “/filemanage/file memo.aspx” até que um patch esteja disponível. Evite usar o parâmetro `file id` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `sys file storage id` no endpoint da API “/WorkPlan/WorkPlanAttachDownLoad.aspx”. **Recomendações** Para as versões 6.01 a 12.01, considere desativar o acesso ao endpoint “/WorkPlan/WorkPlanAttachDownLoad.aspx” até que uma correção esteja disponível. Restrinja o uso do parâmetro `sys file storage id` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `id` no endpoint da API “/bulletin/bulletin template show.aspx”. **Recomendações** Para as versões 6.01 a 12.01, considere restringir o acesso ao endpoint “/bulletin/bulletin template show.aspx” para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `id` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 6.01 a 12.01 do RuvarOA **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `sys file storage id` no endpoint da API “/WorkFlow/wf file download.aspx”. **Recomendações** Para as versões 6.01 a 12.01 do RuvarOA, considere restringir o acesso ao endpoint da API “/WorkFlow/wf file download.aspx” para minimizar o risco de exploração. Evite usar o parâmetro `sys file storage id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.