Redpomelo

**Nome do Software Vulnerável e Versões Afetadas** zj1983 zz versões até 2024-8 **Descrição** Uma vulnerabilidade crítica foi encontrada na funcionalidade desconhecida do arquivo /import data todb. A manipulação do argumento `url` resulta em falsificação de solicitação do lado do servidor (SSRF). O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Como solução temporária, considere desativar a funcionalidade relacionada ao arquivo /import data todb até que um patch esteja disponível. Restrinja o acesso ao arquivo /import data todb para minimizar o risco de exploração. Evite usar o argumento `url` na funcionalidade afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** zj1983 zz versões até 2024-8 **Descrição** Uma vulnerabilidade crítica foi encontrada no software afetado. O problema está relacionado a uma função desconhecida do arquivo /import data check, onde a manipulação do argumento `url` leva à falsificação de solicitação no lado do servidor. Isso pode ser explorado remotamente. O exploit foi divulgado publicamente e o fornecedor foi contatado, mas não respondeu. **Recomendações** Para as versões do zj1983 zz até 2024-8, como medida paliativa temporária, considere restringir o acesso ao arquivo /import data check e limitar a manipulação do argumento `url` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** zj1983 zz versões até 2024-8 **Descrição** Foi identificada uma falha crítica, afetando uma parte desconhecida do arquivo /resolve. A manipulação do argumento `file` resulta em upload irrestrito. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para versões até 2024-8, considere restringir o acesso ao arquivo /resolve para minimizar o risco de exploração. Como solução temporária, evite utilizar o argumento `file` no endpoint afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** zj1983 zz up to 2024-8 **Description** A critical vulnerability has been found in zj1983 zz, affecting some unknown processing of the file src/main/java/com/futvan/z/system/zfile/ZfileAction.upload. The manipulation of the `file` argument leads to unrestricted upload. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. **Recommendations** As a temporary workaround, consider disabling the upload functionality in ZfileAction.upload until a patch is available. Restrict access to the src/main/java/com/futvan/z/system/zfile/ZfileAction.upload file to minimize the risk of exploitation. Avoid using the `file` argument in the affected upload functionality until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** zj1983 zz up to 2024-08 **Description** A vulnerability was found in zj1983 zz, affecting an unknown functionality. The manipulation leads to cross-site request forgery. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** newbee-mall versão 1.0 **Descrição** Foi identificado um problema no newbee-mall. A função `save` do endpoint da API `/admin/categories/save` no componente da Página de Adicionar Categoria está afetada. A manipulação do argumento `categoryName` resulta em cross-site scripting. Este problema pode ser explorado remotamente. **Recomendações** Para o newbee-mall versão 1.0, como solução temporária, considere restringir o acesso à função `save` do endpoint da API `/admin/categories/save` até que uma correção esteja disponível. Evite usar o argumento `categoryName` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** fumiao opencms versão 2.2 **Descrição** Uma vulnerabilidade foi encontrada no arquivo /admin/model/addOrUpdate do componente Add Model Management Page. A manipulação do argumento `模板前缀` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o fumiao opencms versão 2.2, como uma medida de contorno temporária, considere restringir o acesso ao endpoint /admin/model/addOrUpdate até que uma correção esteja disponível. Evite usar o argumento `模板前缀` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** taisan tarzan-cms versão 1.0.0 **Descrição** Foi encontrada uma falha crítica no componente de gerenciamento de artigos, afetando especificamente a função `UploadResponse` do arquivo `UploadController.java`. A manipulação do argumento `file` leva a uploads irrestritos. Essa falha pode ser explorada remotamente. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para o taisan tarzan-cms versão 1.0.0, considere desativar a função `UploadResponse` até que um patch esteja disponível para impedir uploads de arquivos irrestritos. Restrinja o acesso ao arquivo `UploadController.java` para minimizar o risco de exploração. Evite usar o argumento `file` no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.