Wy876

**Nome do Software Vulnerável e Versões Afetadas** JEEWMS versão 3.7 **Descrição** Uma vulnerabilidade zip slip no componente `MigrateForm.java` do módulo de migração de serviço permite que atacantes executem código arbitrário por meio de um arquivo Zip construído especialmente. Esta vulnerabilidade pode potencialmente ser explorada para obter acesso não autorizado e executar código malicioso. **Recomendações** Para o JEEWMS versão 3.7, considere restringir o acesso ao componente `MigrateForm.java` até que um patch esteja disponível. Como medida temporária, evite usar o módulo de migração de serviço com arquivos Zip não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda AC6 versão V15.03.05.16 **Descrição** O problema é uma vulnerabilidade de estouro de buffer na função `formexeCommand`. Esta vulnerabilidade pode ser explorada, potencialmente levando a acesso ou controle não autorizado. Não há informações fornecidas sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais nos quais esta vulnerabilidade foi explorada. **Recomendações** Para o Tenda AC6 versão V15.03.05.16, como medida temporária, considere desativar a função `formexeCommand` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SpringBlade versão 3.7.1 **Descrição** Uma falha no SpringBlade permite que invasores obtenham informações confidenciais por meio de uma solicitação GET maliciosa enviada ao endpoint “api/blade-system/tenant”. O endpoint `api/blade-system/tenant` está vulnerável a essa falha. **Recomendações** Para a versão 3.7.1 do SpringBlade, como solução temporária, considere restringir o acesso ao endpoint “api/blade-system/tenant” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MRCMS versão 3.0 **Descrição** O problema é uma vulnerabilidade de Cross-Site Scripting (XSS). Ela pode ser explorada por meio do endpoint da API `/admin/system/saveinfo.do`. **Recomendações** Para o MRCMS versão 3.0, considere restringir o acesso ao endpoint da API `/admin/system/saveinfo.do` até que uma correção esteja disponível. Como solução temporária, evite usar esse endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MRCMS versão 3.0 **Descrição** O problema está relacionado a uma vulnerabilidade de leitura arbitrária de arquivos. Ela afeta o endpoint `/admin/file/edit.do`, onde o parâmetro `path` recebido não é filtrado adequadamente. Isso permite o acesso não autorizado a arquivos. **Recomendações** Para o MRCMS versão 3.0, como solução temporária, considere restringir o acesso ao endpoint `/admin/file/edit.do` até que uma correção esteja disponível. Além disso, evite usar o parâmetro `path` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.