Qianyi

**Nome do Software Vulnerável e Versões Afetadas** PerfreeBlog versão 4.0.11 **Descrição** Uma vulnerabilidade foi identificada na função `JwtUtil` do componente JWT Handler, o que resulta no uso de uma chave criptográfica hardcoded. O ataque pode ser iniciado remotamente e a complexidade do ataque é relativamente alta. A exploração parece ser difícil. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado com antecedência sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para o PerfreeBlog versão 4.0.11, como solução temporária, considere desativar a função `JwtUtil` até que um patch esteja disponível. Restrinja o acesso ao componente JWT Handler para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ShopXO versão 6.5.0 **Descrição** Um problema crítico afeta a função de Upload do arquivo app/admin/controller/Payment.php no componente de Manipulação de Arquivos ZIP. A manipulação do argumento `params` resulta em upload irrestrito. Esta vulnerabilidade pode ser explorada remotamente. **Recomendações** Para a versão 6.5.0, como medida temporária, considere desativar a função de Upload no controller Payment até que uma correção esteja disponível. Restrinja o acesso ao arquivo app/admin/controller/Payment.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.