Nenfo

**Nome do software vulnerável e versões afetadas: Wcms versão 0.3.2 Descrição: Foi detectada uma vulnerabilidade de Cross Site Scripting (XSS) refletido, permitindo que invasores remotos injetem scripts da Web e HTML arbitrários por meio do parâmetro `type` no arquivo “wex/cssjs.php”. Recomendações: Para o Wcms versão 0.3.2, considere restringir o acesso ao endpoint “wex/cssjs.php” até que uma correção esteja disponível e evite usar o parâmetro `type` neste endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Wcms versão 0.3.2 Descrição: A vulnerabilidade permite que um invasor leia arquivos arbitrários no servidor por meio do parâmetro `pagename` no endpoint da API “wex/html.php”. Recomendações: Para o Wcms versão 0.3.2, evite usar o parâmetro `pagename` no endpoint da API “wex/html.php” até que o problema seja resolvido. Considere restringir o acesso ao endpoint “wex/html.php” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Wcms versão 0.3.2 Descrição: Uma vulnerabilidade de traversal de diretório permite que um invasor leia arquivos arbitrários no servidor por meio do parâmetro `path` no endpoint “wex/cssjs.php”. Recomendações: Para o Wcms versão 0.3.2, evite usar o parâmetro `path` no endpoint “wex/cssjs.php” até que o problema seja resolvido. Considere restringir o acesso ao endpoint “wex/cssjs.php” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: wcms versão 0.3.2 Descrição: Uma vulnerabilidade de Cross Site Scripting (XSS) permite que invasores remotos injetem scripts web e HTML arbitrários por meio do parâmetro `pagename` no endpoint da API “wex/html.php”. Recomendações: Para a versão 0.3.2, evite usar o parâmetro `pagename` no endpoint da API “wex/html.php” até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas: Wcms versão 0.3.2 Descrição: A vulnerabilidade permite que um invasor envie solicitações maliciosas a partir do servidor back-end de uma aplicação web vulnerável, por meio do parâmetro `path`, para “wex/cssjs.php”. Isso pode ser usado para identificar portas abertas, hosts da rede local e executar comandos em serviços locais. Recomendações: Para o Wcms versão 0.3.2, considere restringir o acesso ao endpoint “wex/cssjs.php” para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `path` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Wcms versão 0.3.2 Descrição: A vulnerabilidade permite que um invasor envie solicitações maliciosas a partir do servidor back-end de uma aplicação web vulnerável, por meio do parâmetro `pagename`, para “wex/html.php”. Isso pode ser usado para identificar portas abertas, hosts da rede local e executar comandos em serviços locais. Recomendações: Para o Wcms versão 0.3.2, considere restringir o acesso ao endpoint “wex/html.php” e limitar o uso do parâmetro `pagename` até que uma correção esteja disponível. Como solução alternativa temporária, restrinja a funcionalidade que permite o envio de solicitações maliciosas a partir do servidor back-end para minimizar o risco de exploração.