Xinca0

**Nome do Software Vulnerável e Versões Afetadas** dingfanzu CMS até 20250210 **Descrição** Uma vulnerabilidade crítica foi encontrada no arquivo /ajax/loadShopInfo.php, onde a manipulação do argumento `shopId` resulta em injeção de SQL. Este problema pode ser explorado remotamente. O fornecedor foi contatado sobre a divulgação, mas não respondeu. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o dingfanzu CMS até 20250210, como solução temporária, considere restringir o acesso ao endpoint `/ajax/loadShopInfo.php` até que um patch esteja disponível. Evite usar o argumento `shopId` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Dreamer CMS versions up to 3.5.0 **Description** A problematic issue was found in the File Upload Handler component, leading to cross site scripting. The manipulation can be launched remotely, affecting an unknown function. **Recommendations** For Dreamer CMS versions up to 3.5.0, at the moment, there is no information about a newer version that contains a fix for this vulnerability.