Popko

Nome do software vulnerável e versões afetadas: Versões do Spring Framework de 5.3.0 a 5.3.38 Versões mais antigas do Spring Framework que não recebem suporte Descrição: O problema está relacionado à Spring Expression Language (SpEL) no Spring Framework. É possível que um usuário forneça uma expressão SpEL especialmente criada que possa causar uma condição de negação de serviço (DoS). Um aplicativo fica vulnerável quando avalia expressões SpEL fornecidas pelo usuário. Recomendações: Para as versões 5.3.0 a 5.3.38 do Spring Framework, considere atualizar para uma versão mais recente para mitigar o risco. Para versões mais antigas e sem suporte do Spring Framework, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir a avaliação de expressões SpEL fornecidas pelo usuário para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** LinZhaoguan pb-cms versão 2.0 **Descrição** Foi identificada uma vulnerabilidade na função `IpUtil.getIpAddr`, que permite a execução de scripts entre sites (cross-site scripting). O ataque pode ser lançado remotamente. O código de exploração já foi divulgado publicamente e pode estar em uso. **Recomendações** Para o LinZhaoguan pb-cms versão 2.0, considere desativar a função `IpUtil.getIpAddr` até que uma correção esteja disponível para prevenir ataques de cross-site scripting.