Uglory

Nome do Software Vulnerável e Versões Afetadas: Versões do ESAPI esapi-java-legacy anteriores à 2.7.0.0 Descrição: Foi identificada uma vulnerabilidade na interface `Encoder.encodeForSQL` da Defesa contra Injeção de SQL, resultando em uma neutralização inadequada de elementos especiais. O ataque pode ser iniciado remotamente. Este problema afeta a Defesa contra Injeção de SQL, permitindo potencial exploração. O projeto lidou com a questão de forma profissional após ser contatado. Recomendações: Para versões anteriores à 2.7.0.0, atualize para a versão 2.7.0.0 para corrigir este problema. Como solução temporária, considere desativar a interface `Encoder.encodeForSQL` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** quequnlong shiyi-blog versões até a 1.2.1 **Descrição** Uma vulnerabilidade foi encontrada no quequnlong shiyi-blog, afetando uma funcionalidade desconhecida do arquivo "/dev-api/api/comment/add". A manipulação do argumento `content` resulta em cross-site scripting. O ataque pode ser executado remotamente. **Recomendações** Para as versões do quequnlong shiyi-blog até a 1.2.1, como solução temporária, considere restringir o acesso ao endpoint "/dev-api/api/comment/add" até que um patch esteja disponível. Evite utilizar o argumento `content` no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** quequnlong shiyi-blog versões até 1.2.1 **Descrição** Foi encontrada uma vulnerabilidade crítica no componente de Backend do Administrador, especificamente no endpoint `/api/sys/user/verifyPassword/`, afetando uma função desconhecida. Isso leva à autenticação inadequada e pode ser explorado remotamente. A vulnerabilidade foi divulgada publicamente. **Recomendações** Para as versões do quequnlong shiyi-blog até 1.2.1, como solução temporária, considere restringir o acesso ao endpoint `/api/sys/user/verifyPassword/` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** quequnlong shiyi-blog versions up to 1.2.1 **Description** A critical issue has been found in quequnlong shiyi-blog, affecting some unknown processing of the file `/dev api/app/album/photos/`. This leads to improper authorization, and the attack may be initiated remotely. **Recommendations** For versions up to 1.2.1, as a temporary workaround, consider restricting access to the `/dev api/app/album/photos/` endpoint until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** quequnlong shiyi-blog versions up to 1.2.1 **Description** A critical issue was found in the unknown code of the file /app/sys/article/optimize. The manipulation of the `url` argument leads to server-side request forgery. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond. **Recommendations** For quequnlong shiyi-blog versions up to 1.2.1, consider disabling access to the /app/sys/article/optimize file until a patch is available. As a temporary workaround, restrict the manipulation of the `url` argument to minimize the risk of exploitation. Avoid using the `url` argument in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** quequnlong shiyi-blog versões até a 1.2.1 **Descrição** Foi descoberta uma vulnerabilidade crítica, afetando uma parte desconhecida do arquivo /api/file/upload. A manipulação do argumento `file/source` resulta em path traversal. Esta vulnerabilidade pode ser explorada remotamente. Os detalhes da vulnerabilidade foram divulgados publicamente. **Recomendações** Para as versões do quequnlong shiyi-blog até a 1.2.1, como medida de contorno temporária, considere restringir o acesso ao endpoint `/api/file/upload` até que uma correção esteja disponível. Evite utilizar o argumento `file/source` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ContiNew Admin até a 3.6.0 **Descrição** Uma vulnerabilidade foi encontrada no ContiNew Admin, permitindo a alteração de senha sem verificação. O problema afeta uma funcionalidade desconhecida do arquivo "/dev-api/system/user/1/password". Isso pode ser explorado remotamente. O fornecedor foi contatado sobre a divulgação, mas não respondeu. **Recomendações** Para as versões do ContiNew Admin até a 3.6.0, como medida de contorno temporária, considere restringir o acesso ao endpoint "/dev-api/system/user/1/password" até que um patch esteja disponível. Evite utilizar este endpoint para alterações de senha até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ContiNew Admin até a 3.6.0 **Descrição** Foi identificado um problema no ContiNew Admin, afetando uma função desconhecida do arquivo /dev-api/common/file. A manipulação do argumento `File` resulta em Cross-Site Scripting. O ataque pode ser executado remotamente. O problema foi divulgado publicamente. **Recomendações** Para as versões do ContiNew Admin até a 3.6.0, como medida de contorno temporária, considere restringir o acesso ao /dev-api/common/file para minimizar o risco de exploração. Evite utilizar o argumento `File` no endpoint da API afetado até que o problema seja resolvido. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** itwanger paicoding versão 1.0.3 **Descrição** Uma vulnerabilidade crítica foi encontrada no itwanger paicoding, afetando uma parte desconhecida do arquivo "/article/api/post" do componente Article Handler. A manipulação do argumento `articleId` resulta em autorização inadequada. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o itwanger paicoding versão 1.0.3, considere desabilitar o endpoint `/article/api/post` ou restringir o acesso a ele até que um patch esteja disponível. Como solução temporária, evite usar o argumento `articleId` no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** itwanger paicoding versão 1.0.3 **Descrição** Uma vulnerabilidade foi encontrada no componente Browsing History Handler, afetando alguma funcionalidade desconhecida do arquivo "/user/home?userId=1&homeSelectType=read". A manipulação deste problema leva à divulgação de informações. O ataque pode ser executado remotamente. **Recomendações** Para o itwanger paicoding versão 1.0.3, considere restringir o acesso ao endpoint "/user/home" para minimizar o risco de exploração. Evite usar as variáveis `userId` e `homeSelectType` no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** itwanger paicoding versão 1.0.3 **Descrição** Uma vulnerabilidade foi encontrada no software, classificada como problemática. Afeta uma funcionalidade desconhecida do arquivo "/article/app/post". A manipulação do argumento `content` resulta em cross-site scripting. O ataque pode ser executado remotamente. **Recomendações** Para itwanger paicoding versão 1.0.3, considere restringir o acesso ao arquivo "/article/app/post" até que um patch esteja disponível. Como medida de contorno temporária, evite usar o argumento `content` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** iteaj iboot Gateway IoT versão 1.1.3 **Descrição** Uma vulnerabilidade foi encontrada no componente de Upload de Arquivos, afetando o processamento do arquivo `/common/upload/batch`. A manipulação do parâmetro `File` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o iteaj iboot Gateway IoT versão 1.1.3, considere restringir o acesso ao endpoint `/common/upload/batch` para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `File` no componente de Upload de Arquivos afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** iteaj iboot Gateway IoT versão 1.1.3 **Descrição** Uma vulnerabilidade foi encontrada no componente de Upload de Arquivos, afetando especificamente o arquivo /common/upload. A manipulação do argumento `File` resulta em Cross-Site Scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para o iteaj iboot Gateway IoT versão 1.1.3, considere desativar o componente de Upload de Arquivos até que um patch esteja disponível para prevenir ataques de Cross-Site Scripting. Restrinja o acesso ao arquivo /common/upload para minimizar o risco de exploração. Evite utilizar o argumento `File` no componente afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** iteaj iboot 物联网网关 version 1.1.3 **Description** A problematic issue was found in the Admin Password Handler component, affecting an unknown part of the file /core/admin/pwd. The manipulation of the `ID` argument leads to improper access controls, allowing for remote attacks. The issue has been publicly disclosed. **Recommendations** For iteaj iboot 物联网网关 version 1.1.3, consider restricting access to the /core/admin/pwd file and the Admin Password Handler component to minimize the risk of exploitation. As a temporary workaround, avoid using the `ID` argument in the affected component until a patch is available. At the moment, there is no information about a newer version that contains a fix for this issue.

**Nome do Software Vulnerável e Versões Afetadas** zhijiantianya ruoyi-vue-pro versão 2.4.1 **Descrição** Um problema crítico foi encontrado no componente de Interface de Upload de Material, afetando especificamente uma função desconhecida do arquivo /admin-api/mp/material/upload-news-image. A manipulação do argumento `File` resulta em path traversal. Este problema pode ser explorado remotamente. **Recomendações** Para a versão 2.4.1, como medida de contorno temporária, considere restringir o acesso ao endpoint `/admin-api/mp/material/upload-news-image` para minimizar o risco de exploração. Evite utilizar o argumento `File` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** zhijiantianya ruoyi-vue-pro versão 2.4.1 **Descrição** Foi identificado um problema no componente Interface de Upload de Material, afetando o processamento do arquivo `/admin-api/mp/material/upload-temporary`. A manipulação do argumento `File` resulta em Path Traversal. Este problema pode ser explorado remotamente. **Recomendações** Para o zhijiantianya ruoyi-vue-pro versão 2.4.1, como solução temporária, considere restringir o acesso ao endpoint `/admin-api/mp/material/upload-temporary` para minimizar o risco de exploração. Evite utilizar o argumento `File` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** zhijiantianya ruoyi-vue-pro versão 2.4.1 **Descrição** Existe uma vulnerabilidade crítica no zhijiantianya ruoyi-vue-pro 2.4.1 relacionada a path traversal. A vulnerabilidade reside no arquivo `/admin-api/mp/material/upload-permanent` dentro do componente Material Upload Interface. A manipulação do argumento `File` permite exploração remota. O exploit para esta vulnerabilidade foi divulgado publicamente. **Recomendações** Versões anteriores à 2.4.1 estão potencialmente afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** zhijiantianya ruoyi-vue-pro versão 2.4.1 **Descrição** Uma vulnerabilidade crítica foi encontrada na Interface de Upload de Arquivos do Backend do zhijiantianya ruoyi-vue-pro. Isso afeta uma parte desconhecida do arquivo "/admin-api/infra/file/upload" e permite path traversal através da manipulação do argumento `path`. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu. **Recomendações** Como medida de contorno temporária, considere desabilitar a funcionalidade de upload de arquivos na Interface de Upload de Arquivos do Backend até que um patch esteja disponível. Restrinja o acesso ao endpoint "/admin-api/infra/file/upload" para minimizar o risco de exploração. Evite usar o argumento `path` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** zhijiantianya ruoyi-vue-pro versão 2.4.1 **Descrição** Um problema crítico foi identificado no arquivo /app-api/infra/file/upload do componente Front-End Store Interface. A manipulação do argumento `path` resulta em path traversal. O ataque pode ser lançado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu. **Recomendações** Para a versão 2.4.1, como solução temporária (workaround), considere restringir o acesso ao endpoint `/app-api/infra/file/upload` até que um patch esteja disponível. Evite usar o argumento `path` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: aitangbao springboot-manager versão 3.0 Descrição: Uma vulnerabilidade foi identificada no código do arquivo /sys/dept, permitindo ataques de Cross-Site Scripting através da manipulação do parâmetro `name`. O ataque pode ser iniciado remotamente. Outros parâmetros também podem estar afetados. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para o aitangbao springboot-manager versão 3.0, como medida paliativa temporária, considere restringir o acesso ao arquivo /sys/dept até que uma correção esteja disponível. Evite utilizar o parâmetro `name` no endpoint da API afetado até que a questão seja resolvida. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.