Puppy

**Nome do software vulnerável e versões afetadas** Versões do Huaxia ERP até a 3.1 **Descrição** Foi detectada uma falha no Huaxia ERP que afeta uma função não identificada do arquivo src/main/java/com/jsh/erp/controller/UserController.java. Essa falha resulta em uma vulnerabilidade na recuperação de senha e pode ser explorada remotamente. **Recomendações** Para as versões do Huaxia ERP até a 3.1, atualize para a versão 3.2 para resolver este problema. Como solução temporária, considere restringir o acesso ao arquivo `UserController.java` até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Huaxia ERP até a 3.1 **Descrição** Uma falha afeta algum processamento desconhecido do arquivo /user/getAllList, levando à divulgação de informações. O ataque pode ser iniciado remotamente. **Recomendações** Para as versões do Huaxia ERP até a 3.1, atualize para a versão 3.2 para resolver este problema. Como solução temporária, considere restringir o acesso ao arquivo /user/getAllList até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** cloudfavorites favorites-web versão 1.3.0 **Descrição** Foi detectada uma falha no componente Nickname Handler, que leva a um ataque de script entre sites (XSS). O ataque pode ser executado remotamente. A falha afeta uma funcionalidade ainda não identificada desse componente. **Recomendações** Para o cloudfavorites favorites-web versão 1.3.0, considere desativar o componente Nickname Handler até que uma correção esteja disponível para evitar ataques de cross-site scripting. Restrinja o acesso ao componente para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.

**Nome do software vulnerável e versões afetadas** Weitong Mall versão 1.0.0 **Descrição** Foi detectada uma falha crítica no Weitong Mall. A vulnerabilidade afeta uma funcionalidade desconhecida do arquivo platform-shopsrcmainresourcescomplatformdaoOrderDao.xml. A manipulação do argumento `sidx/order` leva a uma injeção de SQL. **Recomendações** Para o Weitong Mall versão 1.0.0, como solução temporária, considere restringir o acesso ao arquivo `OrderDao.xml` até que um patch esteja disponível. Evite usar o argumento `sidx/order` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 2.0.0 a 2.0.1 do Apollo **Descrição** Foi identificada uma vulnerabilidade no componente Configuration Center, afetando alguma funcionalidade desconhecida do arquivo /users. Esse problema leva a uma autorização inadequada e pode ser explorado remotamente. A exploração já foi divulgada ao público. A existência dessa vulnerabilidade ainda é contestada. O mantenedor observa que dados do usuário, como `user id`, `name` e `email`, não são considerados confidenciais. **Recomendações** Para as versões 2.0.0 a 2.0.1 do Apollo, considere restringir o acesso ao arquivo /users no componente Configuration Center como uma solução temporária até que orientações adicionais estejam disponíveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** meetyoucrop big-whale versão 1.1 **Descrição** Uma falha crítica afeta uma funcionalidade desconhecida do arquivo `/auth/user/all.api` do componente Admin Module. A manipulação do argumento `id` leva a um gerenciamento inadequado de propriedade. O ataque pode ser lançado remotamente. **Recomendações** Para o meetyoucrop big-whale versão 1.1, considere desativar o acesso ao endpoint `/auth/user/all.api` até que uma correção esteja disponível. Restrinja a manipulação do argumento `id` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** qkmc-rk redbbs versão 1.0 **Descrição** Foi encontrada uma falha no componente Nickname Handler, levando a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. **Recomendações** Para o qkmc-rk redbbs versão 1.0, considere desativar o componente Nickname Handler até que uma correção esteja disponível para prevenir ataques de cross-site scripting.

**Nome do software vulnerável e versões afetadas** qkmc-rk redbbs versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no componente Post Handler. A manipulação do argumento `title` leva a um ataque de cross-site scripting. É possível executar o ataque remotamente. **Recomendações** Para o qkmc-rk redbbs versão 1.0, considere desativar o componente Post Handler ou restringir o uso do argumento `title` até que um patch esteja disponível. Como solução temporária, evite usar o argumento `title` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Magic-Api até a 2.0.1 **Descrição** Foi encontrada uma vulnerabilidade crítica no Magic-Api, afetando uma funcionalidade desconhecida do arquivo “/resource/file/api/save?auto=1”. A manipulação leva à injeção de código, e o ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para versões do Magic-Api até 2.0.1, considere desativar o acesso ao endpoint “/resource/file/api/save?auto=1” até que um patch esteja disponível. Restringir o uso desse endpoint pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** spider-flow versão 0.4.3 **Descrição** Foi encontrada uma vulnerabilidade crítica no spider-flow, afetando a função `FunctionService.saveFunction` do arquivo `src/main/java/org/spiderflow/controller/FunctionController.java`. Essa vulnerabilidade leva à injeção de código e pode ser explorada remotamente. A exploração já foi divulgada ao público. **Recomendações** Para o spider-flow versão 0.4.3, considere desativar a função `FunctionService.saveFunction` até que um patch esteja disponível para prevenir ataques de injeção de código. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. Evite usar a função afetada no endpoint da API até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.