Qqwp220

**Nome do software vulnerável e versões afetadas** Versões do anji-plus AJ-Report até a 1.4.1 **Descrição** Foi encontrada uma falha crítica no software, afetando uma função desconhecida do arquivo /dataSet/testTransform;swagger-ui. A manipulação do argumento `dynSentence` leva à injeção de SQL. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para as versões do anji-plus AJ-Report até 1.4.1, considere restringir o acesso ao endpoint `/dataSet/testTransform;swagger-ui` para minimizar o risco de exploração. Evite usar o argumento `dynSentence` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Versões do cym1102 nginxWebUI até a 3.9.9 **Descrição** Foi identificada uma falha crítica na função `exec` do arquivo `/adminPage/conf/reload`. A manipulação do argumento `nginxExe` leva à deserialização. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para versões até 3.9.9, como solução temporária, considere desativar a função `exec` do arquivo `/adminPage/conf/reload` até que um patch esteja disponível. Restrinja o acesso ao arquivo `/adminPage/conf/reload` para minimizar o risco de exploração. Evite usar o argumento `nginxExe` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Xuxueli xxl-job, versões 2.4.0 a 2.4.1 **Descrição** Foi identificada uma vulnerabilidade na função `deserialize` do arquivo `com/xxl/job/core/util/JdkSerializeTool.java` do componente `Template Handler`. Este problema leva à injeção. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para as versões 2.4.0 a 2.4.1, como solução temporária, considere desativar a função `deserialize` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.