Winegee

**Nome do Software Vulnerável e Versões Afetadas** baomidou dynamic-datasource versão 2.5.0 **Descrição** Um problema de injeção existe na função `doDetermineDatasource()` dentro da classe `DsSpelExpressionProcessor`. Esta falha, localizada no componente `StandardEvaluationContext`/`SpelExpressionParser`, permite a manipulação remota. **Recomendações** Aplicar o patch 273fcedaee984c08197c0890f14190b86ab7e0b8 na versão 2.5.0. Como medida paliativa temporária, restrinja o acesso à função `doDetermineDatasource()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** IhateCreatingUserNames2 AiraHub2 versões anteriores a 3e4b77fd7d48ed811ffe5b8d222068c17c76495e **Descrição** Uma falsificação de solicitação do lado do servidor (SSRF) existe no componente Endpoint. Este problema ocorre na função `connect stream endpoint/sync agents()` do arquivo `AiraHub.py`. Um invasor remoto pode iniciar uma manipulação que permite ao servidor fazer solicitações não autorizadas a recursos internos ou externos. **Recomendações** Atualize para uma versão posterior a 3e4b77fd7d48ed811ffe5b8d222068c17c76495e. Como medida paliativa temporária, restrinja o acesso à função `connect stream endpoint/sync agents()` para minimizar o risco de exploração.

A weakness has been identified in mingSoft MCMS up to 5.5.0. This issue affects the function catchImage of the file net/mingsoft/cms/action/BaseAction.java of the component Editor Endpoint. Executing a manipulation of the argument catchimage can lead to server-side request forgery. It is possible to launch the attack remotely. The exploit has been made available to the public and could be used for attacks.

A security vulnerability has been detected in mingSoft MCMS up to 5.5.0. Impacted is the function list of the file net/mingsoft/cms/action/web/ContentAction.java of the component Web Content List Endpoint. The manipulation leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed publicly and may be used.

**Name of the Vulnerable Software and Affected Versions** 648540858 wvp-GB28181-pro versions up to 2.7.4 **Description** A security flaw exists in the 648540858 wvp-GB28181-pro software. The issue is related to deserialization within the `GenericFastJsonRedisSerializer` function located in the file src/main/java/com/genersoft/iot/vmp/conf/redis/RedisTemplateConfig.java of the API Endpoint component. This allows for remote attacks. The exploit is publicly available. The vendor was notified but did not respond. **Recommendations** Versions prior to 2.7.4 should be updated. As a temporary workaround, consider disabling the API Endpoint component until a patch is available.