Mtflyo

**Nome do software vulnerável e versões afetadas** JIZHICMS versão 1.7.1 **Descrição** Existe uma falha de segurança que permite que um invasor injete código malicioso. A falha está relacionada ao endpoint da API “index.php/Wechat/checkWeixin”, especificamente aos parâmetros `signature` e `echostr`, onde um invasor pode injetar código malicioso, levando potencialmente à execução de código no navegador da vítima. **Recomendações** Para o JIZHICMS versão 1.7.1, como solução temporária, considere restringir o acesso ao endpoint da API “index.php/Wechat/checkWeixin” até que um patch esteja disponível. Evite usar o parâmetro `echostr` neste endpoint até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** JIZHICMS versão 1.7.1 **Descrição** Existe uma falha de segurança que permite que um invasor execute código arbitrário. A falha está relacionada ao endpoint da API “/index.php/Error/index?msg=”, que está vulnerável a ataques XSS. Esse endpoint é gerenciado pelo arquivo Home/c/ErrorController.php. **Recomendações** Para o JIZHICMS versão 1.7.1, como solução temporária, considere restringir o acesso ao endpoint “/index.php/Error/index” até que uma correção esteja disponível. Evite usar o parâmetro `msg` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.