Raybye

**Nome do software vulnerável e versões afetadas** Alldata versão 0.4.6 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL por meio do parâmetro `tablename` no endpoint da API “/data/masterdata/datas”. Isso permite uma possível exploração. **Recomendações** Para a versão 0.4.6 do Alldata, como solução temporária, considere restringir o acesso ao endpoint da API `/data/masterdata/datas` até que uma correção esteja disponível. Evite usar o parâmetro `tablename` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Alldata versão 0.4.6 **Descrição** A vulnerabilidade permite a execução de comandos, onde comandos do sistema podem ser deserializados. **Recomendações** Para a versão 0.4.6 do Alldata, como solução temporária, considere restringir a deserialização de comandos do sistema até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Alldata versão 0.4.6 **Descrição** A vulnerabilidade permite que usuários, como `test`, consultem informações sobre os usuários do sistema devido a permissões inseguras. **Recomendações** Para a versão 0.4.6 do Alldata, restrinja o acesso a informações confidenciais dos usuários para impedir consultas não autorizadas. Como solução temporária, considere limitar os privilégios do usuário `test` até que uma correção adequada seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Alldata versão 0.4.6 **Descrição** O problema está relacionado a um controle de acesso incorreto, resultando no vazamento de documentos de interface de vários módulos. Por exemplo, o módulo “/api/system/v2/api-docs” está afetado. **Recomendações** Para a versão 0.4.6 do Alldata, considere restringir o acesso ao módulo “/api/system/v2/api-docs” para minimizar o risco de exploração. Além disso, revise e proteja todos os documentos de interface para evitar novos vazamentos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Alldata versão 0.4.6 **Descrição** A falha na interface de envio de imagens do sistema permite que invasores executem um ataque de traversal de diretório ao enviar um arquivo. Isso lhes permite acessar ou modificar arquivos fora do diretório pretendido, o que pode levar ao acesso não autorizado a dados ou ao comprometimento do sistema. **Recomendações** Para a versão 0.4.6 do Alldata, considere restringir o acesso à interface de upload de imagens do sistema até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o recurso de upload de arquivos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Alldata versão 0.4.6 **Descrição** Uma falha no Alldata permite que um invasor execute comandos arbitrários por meio do parâmetro `processId`. **Recomendações** Para a versão 0.4.6 do Alldata, evite usar o parâmetro `processId` até que uma correção esteja disponível. Como solução alternativa temporária, considere restringir o acesso à funcionalidade afetada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Alldata versão 0.4.6 **Descrição** Uma vulnerabilidade de desserialização no componente FASTJSON permite que invasores executem comandos arbitrários por meio do envio de dados manipulados. **Recomendações** Para a versão 0.4.6 do Alldata, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.