V9D0Go

Nome do software vulnerável e versões afetadas: hopetree izone lts versão c011b48 Descrição: O problema está relacionado a uma vulnerabilidade de Cross Site Scripting (XSS) na função de comentários de artigos. Especificamente, a função `AddCommintView()` em `appscommentviews.py` não filtra de forma segura as entradas do usuário, exibindo-as diretamente na página do front-end por meio de modelos. Isso permite possíveis ataques XSS. Recomendações: Para a versão c011b48, certifique-se de que a função `AddCommintView()` filtre com segurança as entradas do usuário para evitar ataques XSS. Como solução temporária, considere desativar a função `AddCommintView()` até que um patch esteja disponível. Restrinja o acesso à funcionalidade de comentários para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: hopetree izone lts versão c011b48 Descrição: O problema está relacionado a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) na função de envio ativo. Essa vulnerabilidade ocorre porque o arquivo `apps/tool/apis/bd push.py` não filtra de forma segura as entradas do usuário por meio das funções `push urls()` e `get urls()`. Recomendações: Para a versão c011b48, certifique-se de que as funções `push urls()` e `get urls()` no arquivo `apps/tool/apis/bd push.py` sejam modificadas para filtrar com segurança as entradas do usuário, a fim de prevenir ataques SSRF. Como solução temporária, considere restringir o acesso ao módulo `bd push.py` para minimizar o risco de exploração.