V3Ged4G

**Name of the Vulnerable Software and Affected Versions** PluXml versions prior to 5.8.23 **Description** A flaw exists in PluXml that could allow for remote code execution. The issue is located in the `FileCookieJar:: destruct` function within the `core/admin/medias.php` file of the Media Management Module. Manipulation of the `File` argument can lead to deserialization. The exploit has been publicly disclosed. **Recommendations** Update to PluXml version 5.8.23 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do MaxSite CMS anteriores à 110 **Descrição** Existe uma falha no MaxSite CMS que permite o upload de arquivos sem restrições. Este problema está relacionado ao processamento dos argumentos `file path` e `content` no arquivo application/maxsite/admin/plugins/editor files/save-file-ajax.php. O ataque pode ser realizado remotamente. O exploit para este problema foi publicado. **Recomendações** Atualize o MaxSite CMS para a versão 110 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do MaxSite CMS anteriores à 110 **Descrição** Existe uma falha no MaxSite CMS que permite upload de arquivos irrestrito. Este problema está relacionado à manipulação dos parâmetros `X-Requested-FileName` e `X-Requested-FileUpDir` no manipulador de cabeçalho HTTP, especificamente no arquivo application/maxsite/admin/plugins/auto post/uploads-require-maxsite.php. A exploração remota é possível. O exploit está disponível publicamente. **Recomendações** Atualize o MaxSite CMS para a versão 110 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do CmsEasy até a 7.7.7 **Descrição** Foi encontrada uma falha crítica na função `getslide child action` na biblioteca `lib/admin/language admin.php`. A manipulação do argumento `sid` leva a uma injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para versões até 7.7.7, como solução temporária, considere desativar a função `getslide child action` até que um patch esteja disponível. Restrinja o acesso à biblioteca `lib/admin/language admin.php` para minimizar o risco de exploração. Evite usar o argumento `sid` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.