Peng Wu

Name of the Vulnerable Software and Affected Versions DedeCMS version 5.7.118 Description The software contains a Cross-Site Request Forgery (CSRF) issue in the `/sys task add.php` file. A Cross-Site Request Forgery attack allows an attacker to induce a user to perform unwanted actions on a web application in which they’re currently authenticated. The vulnerable file is `/sys task add.php`. Recommendations Update to a newer version of DedeCMS that addresses this issue. As a temporary workaround, consider implementing CSRF protection mechanisms for the `/sys task add.php` endpoint.

**Name of the Vulnerable Software and Affected Versions** JiZhiCMS versions 2.5.6 and earlier **Description** The software contains a Stored Cross-Site Scripting (XSS) issue in the `release` function within the `app/home/c/UserController.php` file. The application attempts to sanitize input by filtering `<script>` tags, but it does not recursively remove dangerous event handlers in other HTML tags, such as `onerror` in `<img>` tags. This allows a remote attacker with authentication to inject arbitrary web script or HTML through the `body` parameter in a POST request to the `/user/release.html` API endpoint. **Recommendations** Versions prior to 2.5.6 should be updated.

**Nome do Software Vulnerável e Versões Afetadas** Kernel Linux (versões afetadas não especificadas) **Descrição** Um problema de vazamento de contagem de referência (refcount) foi identificado no kernel Linux, especificamente no componente powerpc/iommu. O problema surge na função `of find compatible node`, que retorna um ponteiro `device node` com uma contagem de referência incrementada. Para prevenir este vazamento, é necessário usar a função `of node put()`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.