Sourbyte

**Nome do Software Vulnerável e Versões Afetadas** Oinone Pamirs versões anteriores a 7.2.0 **Descrição** Um problema de injeção de SQL existe na interface 'queryListByWrapper'. Isso ocorre na função `RSQLToSQLNodeConnector.makeVariable()`, permitindo que um invasor remoto manipule consultas SQL. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Oinone Pamirs versões anteriores a 7.2.0 **Descrição** Uma falha de path traversal existe no componente RestController, dentro do arquivo `LocalFileClient.java`. O problema ocorre na função `request.getParameter()` quando o argumento `uniqueFileName` é manipulado, permitindo que um invasor com acesso físico ao dispositivo realize a travessia de diretórios. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao argumento `uniqueFileName` na função `request.getParameter()` do componente RestController.

**Nome do Software Vulnerável e Versões Afetadas** Oinone Pamirs versões anteriores a 7.2.0 **Descrição** Um problema de desserialização remota existe no componente appConfigQuery Interface, no arquivo PamirsParserConfig.java. A falha está localizada na função `JsonUtils.parseMap()`, que pode ser manipulada para disparar a desserialização, potencialmente levando à execução remota de código. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o acesso à função `JsonUtils.parseMap()` na interface appConfigQuery para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** ThingsGateway version 12 **Description** A path traversal issue exists in ThingsGateway version 12, specifically affecting an unknown part of the `/api/file/download` file. Manipulation of the `fileName` argument allows for path traversal. Remote exploitation is possible, and an exploit is publicly available. The vendor was contacted regarding this issue but did not respond. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** O2OA versions prior to 9.0.0 **Description** A flaw exists in O2OA up to version 9.0.0 related to XML external entity reference. The issue is located within the HTTP POST Request Handler component, specifically in the file `/x program center/jaxrs/mpweixin/check`. The manipulation allows for remote initiation of the attack. The exploit is publicly available. **Recommendations** Update O2OA to version 9.0.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** WuKongOpenSource WukongCRM versões até 11.3.3 **Descrição** Existe uma falha de segurança no WuKongOpenSource WukongCRM, especificamente no componente URL Handler. O problema está localizado no arquivo `gateway/src/main/java/com/kakarote/gateway/service/impl/PermissionServiceImpl.java` e resulta em autorização inadequada. A exploração remota é possível por meio de manipulação. O exploit foi divulgado publicamente e pode ser utilizado em ataques. O fornecedor foi notificado, mas não respondeu. **Recomendações** As versões anteriores a 11.3.3 devem ser atualizadas.

**Name of the Vulnerable Software and Affected Versions** MineAdmin versions 1.x through 2.x **Description** A flaw exists in MineAdmin that allows information disclosure. This occurs due to manipulation of the `ID` argument within the `/system/downloadById` file. The attack can be initiated remotely and is considered to have high complexity, though exploitation is described as difficult. The exploit is publicly available. The vendor was notified but did not respond. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** MineAdmin versions 1.x and 2.x **Description** A security issue exists in MineAdmin that allows information disclosure. The issue is related to manipulating the `ID` argument within an unknown function of the `/system/getFileInfoById` file. This manipulation can be performed remotely. The exploit has been publicly disclosed. The vendor was notified but did not respond. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.x e 2.x do MineAdmin **Descrição** Existe uma vulnerabilidade devido à verificação insuficiente da autenticidade dos dados dentro do componente JWT Token Handler. Este problema afeta a função `refresh` do arquivo `/system/refresh`. O ataque pode ser iniciado remotamente e é considerado de alta complexidade, embora a exploração seja difícil. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores às 1.x e 2.x devem ser atualizadas. Como solução temporária, considere desabilitar a função `refresh` até que um patch esteja disponível. Restrinja o acesso ao arquivo `/system/refresh` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** MineAdmin versions 1.x through 2.x **Description** A security flaw exists in MineAdmin impacting the Swagger component. Manipulation of an unknown function can lead to information disclosure. The exploit is publicly available and may be used in attacks. The vendor was notified but did not respond. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** MineAdmin versions 1.x and 2.x **Description** A security issue exists in MineAdmin that allows for improper authorization. The issue is related to an unknown function within the `/system/cache/view` file of the View Interface component. This issue is potentially exploitable remotely and a public exploit is available. The vendor was notified but did not respond. **Recommendations** Versions prior to 1.x and 2.x should be updated.