Wyl321

**Nome do software vulnerável e versões afetadas** idcCMS versão 1.35 **Descrição** Foi detectada uma falha no idcCMS que afeta uma funcionalidade desconhecida do arquivo “/admin/admin cl.php?mudi=revPwd”. Essa falha permite a falsificação de solicitações entre sites (CSRF) e pode ser explorada remotamente. **Recomendações** Para o idcCMS versão 1.35, como solução temporária, considere restringir o acesso ao endpoint “/admin/admin cl.php” até que um patch esteja disponível. Evite usar o parâmetro `mudi` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** heyewei JFinalCMS versão 5.0.0 **Descrição** Foi identificada uma falha crítica no componente Custom Data Page, afetando especificamente uma funcionalidade desconhecida do arquivo “/admin/div data/delete?divId=9”. Essa falha leva à injeção de SQL e pode ser explorada remotamente. A exploração já foi divulgada ao público. **Recomendações** Para a versão 5.0.0, considere desativar o acesso ao endpoint “/admin/div data/delete?divId=9” até que uma correção esteja disponível. Restringir o uso do componente Página de Dados Personalizados também pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.