Summerxxoo

**Nome do Software Vulnerável e Versões Afetadas** WukongCRM-11.0-JAVA versão 11.3.3 **Descrição** Uma vulnerabilidade de upload arbitrário de arquivos no componente /adminUser/updateImg permite que atacantes executem código arbitrário mediante o upload de um arquivo manipulado. Este problema permite que atacantes potencialmente assumam o controle do sistema ao fazer upload de arquivos maliciosos. **Recomendações** Para o WukongCRM-11.0-JAVA versão 11.3.3, como uma solução temporária, considere desativar o componente /adminUser/updateImg até que uma correção esteja disponível. Restrinja o acesso a este componente para minimizar o risco de exploração. Evite utilizar este componente até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Chat2DB versão 0.3.5 **Descrição** Uma vulnerabilidade no componente /datagrip/upload do Chat2DB permite que invasores executem código arbitrário por meio do envio de uma entrada XML maliciosa, explorando uma falha de injeção de Entidade Externa XML (XXE). **Recomendações** Para o Chat2DB versão 0.3.5, como solução temporária, considere desativar o componente /datagrip/upload até que um patch esteja disponível. Restrinja o acesso a este componente para minimizar o risco de exploração. Evite usar o componente vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Stirling-PDF versão 0.35.1 **Descrição** Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no endpoint “http://{your-server}/url-to-pdf” do Stirling-PDF permite que invasores acessem informações confidenciais por meio de uma solicitação maliciosa. Isso permite que invasores obtenham dados confidenciais por meio de solicitações manipuladas. **Recomendações** Para a versão 0.35.1 do Stirling-PDF, como solução temporária, considere restringir o acesso ao endpoint “http://{your-server}/url-to-pdf” até que uma correção esteja disponível. Evite usar este endpoint com entradas não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.