Tgao

**Nome do software vulnerável e versões afetadas** Versões do Dromara HuTool até a 5.8.10 **Descrição** Foi encontrada uma vulnerabilidade no Dromara HuTool que afeta o arquivo cn.hutool.core.util.ZipUtil.java, levando ao consumo excessivo de recursos. O ataque pode ser iniciado remotamente. **Recomendações** Para versões até 5.8.10, atualize para a versão 5.8.11 para resolver este problema.

**Nome do software vulnerável e versões afetadas** RainyGao DocSys (versões afetadas não especificadas) **Descrição** Foi identificada uma falha crítica no RainyGao DocSys, afetando uma funcionalidade desconhecida do componente com.DocSystem.controller.UserController#getUserImg. A manipulação leva a um traversal de caminho, especificamente ‘../filedir’. Esta vulnerabilidade pode ser explorada remotamente. **Recomendações** Para corrigir esta vulnerabilidade, recomenda-se aplicar um patch. Como solução temporária, considere restringir o acesso à função `getUserImg` no componente `UserController` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** RainyGao DocSys versão 2.02.37 **Descrição** Foi identificada uma vulnerabilidade crítica no componente ZIP File Decompression Handler do RainyGao DocSys. A falha permite a traversal de caminho, especificamente usando ‘../filedir’, e pode ser explorada remotamente. A exploração já foi divulgada publicamente. **Recomendações** Para o RainyGao DocSys versão 2.02.37, considere restringir o acesso ao componente ZIP File Decompression Handler até que uma correção esteja disponível. Como solução temporária, evite usar a traversal de caminho ‘../filedir’ no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do maku-boot até 2.2.0 **Descrição** Foi detectada uma falha crítica no componente Scheduled Task Handler, afetando a função `doExecute` do arquivo `AbstractScheduleJob.java`. Isso leva a uma injeção de código e pode ser iniciado remotamente. O código de exploração já foi divulgado publicamente. **Recomendações** Para versões do maku-boot até 2.2.0, aplique o patch com o nome 446eb7294332efca2bfd791bc37281cedac0d0ff para corrigir este problema. Como solução temporária, considere desativar a função `doExecute` do componente Scheduled Task Handler até que o patch seja aplicado. Restrinja o acesso ao componente Scheduled Task Handler para minimizar o risco de exploração.