Snowhy77

**Name of the Vulnerable Software and Affected Versions** Emlog versions up to and including 2.5.19 **Description** Emlog is vulnerable to server-side Out-of-Band (OOB) requests and Server-Side Request Forgery (SSRF) through the handling of uploaded SVG files. An attacker can upload a specially crafted SVG file via the `/admin/media.php` endpoint. When the server processes the SVG file, it makes HTTP requests to a host controlled by the attacker, leading to potential internal network probing and exposure of metadata or credentials. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Emlog Pro 2.5.19 e anteriores **Descrição** As versões do Emlog Pro 2.5.19 e anteriores são suscetíveis a uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) no endpoint de alteração de senha. Isso permite que um atacante induza um administrador logado a enviar uma solicitação POST forjada, resultando em alterações de senha não autorizadas. A exploração bem-sucedida pode resultar na tomada de conta de usuários privilegiados. O CSRF é um ataque no qual um usuário autenticado é induzido a executar ações indesejadas em uma aplicação web. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MetInfo CMS versão 8.0 **Descrição** Existe uma falha de Cross-Site Scripting (XSS) armazenado devido à validação e sanitização inadequadas no upload de arquivos SVG. O problema está localizado no componente `appsystemincludemoduleuploadify.class.php` dentro do módulo de configurações do site. Atacantes podem fazer upload de arquivos SVG maliciosos contendo código JavaScript que será executado quando o arquivo enviado for visualizado ou acessado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** MetInfo CMS versão 8.0 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no módulo de gerenciamento de imagens do software. A vulnerabilidade está localizada no componente `appsystemimgadminimg admin.class.php`. Atacantes podem fazer upload de arquivos SVG maliciosos contendo código JavaScript. Este código é executado quando o arquivo carregado é visualizado ou acessado por usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Emlog 2.5.21 e inferiores **Descrição** O Emlog é um sistema de construção de sites. Existe uma falha na qual um payload malicioso pode ser salvo através das configurações de modelo de e-mail, resultando em cross-site scripting (XSS) armazenado. Quando um atacante salva código malicioso, qualquer visita subsequente à página de configurações por um administrador autenticado executará JavaScript controlado pelo atacante. Isso pode resultar em roubo de sessão ou token e na tomada de controle completa da conta de administrador. **Recomendações** Atualize para a versão 2.5.22 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do KUNO CMS anteriores à 1.3.14 **Descrição** O KUNO CMS, uma aplicação de blog full-stack, possui falhas em sua funcionalidade de upload de arquivos. O processo de upload valida os tipos de arquivo apenas com base nos cabeçalhos Content-Type e não analisa o conteúdo do arquivo nem impõe listas de extensões permitidas. Isso permite que atacantes façam upload de arquivos SVG contendo scripts maliciosos, disfarçados como imagens. Quando os usuários acessam as páginas que exibem esses recursos carregados, JavaScript arbitrário é executado em seus navegadores. O endpoint de API afetado é a funcionalidade de upload de arquivos. O parâmetro vulnerável é o próprio arquivo. **Recomendações** Atualize o KUNO CMS para a versão 1.3.14 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Emlog Pro versão 2.5.19 **Descrição** Foi identificada uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. A vulnerabilidade está localizada no componente de configuração de template de e-mail no endpoint da API `/admin/setting.php?action=mail`. Isso permite que administradores insiram código HTML que não é devidamente sanitizado, resultando na execução persistente de JavaScript. O `código HTML` inserido pelos administradores não é validado, permitindo a injeção de scripts maliciosos. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** XunRuiCMS versão 4.7.1 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado devido à validação inadequada de uploads de arquivos SVG no componente `dayrui/Fcms/Library/Upload.php`. Isso permite que atacantes injetem código JavaScript malicioso que será executado quando o arquivo enviado for visualizado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.