Xin-Yue Song

**Nome do software vulnerável e versões afetadas** Versões do IDExpert até a 2.8 **Descrição** O problema diz respeito a uma falta de validação na interface de administrador do IDExpert, permitindo que invasores remotos com privilégios administrativos injetem e executem comandos do sistema operacional no servidor. Isso pode ser explorado através da injeção de um parâmetro específico. **Recomendações** Para versões até a 2.8, aplique o patch imediatamente e restrinja o acesso de administrador para minimizar o risco de exploração. Além disso, valide entradas e saídas para impedir a injeção de comandos do sistema operacional. Como solução temporária, considere restringir o acesso à interface de administrador até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão Administrativa da Wellchoose (versões afetadas não especificadas) **Descrição** O Sistema de Gestão Administrativa da Wellchoose apresenta uma vulnerabilidade de traversal de caminho, permitindo que invasores remotos não autenticados explorem essa vulnerabilidade para baixar arquivos arbitrários no servidor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão Administrativa da Wellchoose (versões afetadas não especificadas) **Descrição** O Sistema de Gestão Administrativa da Wellchoose não valida adequadamente os tipos de arquivos enviados, permitindo que invasores remotos com privilégios normais enviem e executem webshells. Essa falha pode ser explorada por invasores para obter acesso não autorizado ao sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão Administrativa da Wellchoose (versões afetadas não especificadas) **Descrição** O Sistema de Gestão Administrativa da Wellchoose apresenta uma vulnerabilidade de injeção de comandos do sistema operacional, permitindo que invasores remotos com privilégios normais injetem e executem comandos arbitrários do sistema operacional. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plataforma de marketing AIM LINE da Esi Technology (versões afetadas não especificadas) **Descrição** A plataforma de marketing AIM LINE da Esi Technology não valida adequadamente um parâmetro de consulta específico. Quando o Módulo de Campanha LINE está ativado, invasores remotos não autenticados podem injetar comandos FetchXml arbitrários para ler, modificar e excluir o conteúdo do banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução temporária, considere desativar o Módulo de Campanha LINE até que um patch esteja disponível. Restrinja o acesso ao parâmetro de consulta vulnerável para minimizar o risco de exploração. Evite usar o parâmetro de consulta vulnerável no endpoint da API afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** NCSIST ManageEngine Mobile Device Manager(MDM) APP (affected versions not specified) **Description** The issue is related to a path traversal vulnerability in a special function of the NCSIST ManageEngine Mobile Device Manager(MDM) APP. This vulnerability can be exploited by an unauthenticated remote attacker to bypass authentication and read arbitrary system files. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.