Uzjuo

Nome do Software Vulnerável e Versões Afetadas: Dify versão 1.0 Descrição: O problema está relacionado a uma Falsificação de Solicitação do Lado do Servidor (SSRF) através do componente `controllers.console.remote files.RemoteFileUploadApi`. Isso permite potencial acesso não autorizado a recursos internos. Recomendações: Para a versão 1.0 do Dify, considere desabilitar o componente `RemoteFileUploadApi` até que um patch esteja disponível para prevenir potenciais ataques SSRF. Restrinja o acesso ao módulo `controllers.console.remote files` para minimizar o risco de exploração. Evite utilizar o endpoint `RemoteFileUploadApi` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Yimioa versão 6.1 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL no Yimioa por meio do parâmetro `orderbyGET`. Isso permite a possível manipulação de consultas ao banco de dados. **Recomendações** Para a versão 6.1 do Yimioa, considere restringir o acesso ao parâmetro `orderbyGET` até que uma correção esteja disponível. Evite usar o parâmetro `orderbyGET` em consultas confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Ywoa anteriores à 6.1 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do endpoint da API “/oa/setup/checkPool?database”. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que esse problema tenha sido explorado. **Recomendações** Para versões anteriores à 6.1, atualize para a versão 6.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API “/oa/setup/checkPool?database” até que um patch esteja disponível. Evite usar o parâmetro `database` no endpoint da API afetado até que o problema seja resolvido.