Red0_Ha1Yu

**Nome do Software Vulnerável e Versões Afetadas** Versões do ketr JEPaaS até 7.2.8 **Descrição** Existe uma vulnerabilidade de injeção de SQL no ketr JEPaaS. A função `postilService.loadPostils`, localizada no arquivo `/je/postil/postil/loadPostil`, é suscetível à exploração. A manipulação do argumento `keyWord` pode resultar em injeção de SQL. A exploração remota é possível. **Recomendações** Versões anteriores à 7.2.8 devem ser atualizadas. Como medida temporária, considere restringir o acesso à função `postilService.loadPostils` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Versões do xiweicheng TMS anteriores a 2.28.1 **Descrição** Existe um problema de segurança no xiweicheng TMS. A função `createComment` dentro do arquivo `/admin/blog/comment/create` está suscetível a cross-site scripting. A manipulação do argumento `content` pode ser aproveitada para realizar ataques remotos. O exploit foi divulgado publicamente. **Recomendações** Atualize para uma versão anterior a 2.28.1. Como solução temporária, considere restringir o acesso ao arquivo `/admin/blog/comment/create`.

**Nome do software vulnerável e versões afetadas** Novel-Plus versão 4.3.0-RC1 **Descrição** Uma falha crítica afeta o processamento do arquivo /novel/bookComment/list. A manipulação do argumento `sort` leva a uma injeção de SQL. **Recomendações** Para o Novel-Plus versão 4.3.0-RC1, considere restringir o acesso ao arquivo /novel/bookComment/list até que um patch esteja disponível. Como solução temporária, evite usar o argumento `sort` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.