P1Wy

Nome do Software Vulnerável e Versões Afetadas: dayrui XunRuiCMS versões até 4.6.4 Descrição: Foi identificado um problema crítico, afetando código desconhecido no arquivo /Control/Api/Api.php. A manipulação do parâmetro `thumb` leva à desserialização. Este problema pode ser explorado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Recomendações: Para as versões do dayrui XunRuiCMS até 4.6.4, considere desabilitar a funcionalidade de desserialização relacionada ao parâmetro `thumb` no arquivo /Control/Api/Api.php como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso ao arquivo /Control/Api/Api.php para minimizar o risco de exploração. Evite usar o parâmetro `thumb` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do ThinkAdmin até a 6.1.67 **Descrição** Foi encontrada uma falha crítica no script da função do arquivo /app/admin/controller/api/Plugs.php, relacionada a vulnerabilidades de desserialização. A manipulação do argumento `uptoken` leva à desserialização, permitindo um ataque remoto. A complexidade de um ataque é bastante alta, e a exploração é difícil. A exploração foi divulgada ao público e pode ser utilizada, impactando potencialmente a confidencialidade, integridade e disponibilidade das informações protegidas. **Recomendações** Para versões do ThinkAdmin até a 6.1.67, aplique o patch imediatamente ou isole os sistemas afetados para evitar a exploração. Como solução temporária, considere restringir o acesso ao arquivo /app/admin/controller/api/Plugs.php ou desativar o script de função vulnerável até que um patch esteja disponível. Evite usar o argumento `uptoken` no endpoint da API afetado até que a vulnerabilidade seja resolvida.