Yaoyao6688

**Name of the Vulnerable Software and Affected Versions** Gila GilaCMS version 1.11.4 **Description** The issue allows a remote attacker to execute arbitrary code via the `cm/update rows/user` parameter. This is a Cross Site Request Forgery vulnerability. **Recommendations** For Gila GilaCMS version 1.11.4, consider disabling access to the `cm/update rows/user` parameter until a patch is available. Restricting the use of this parameter can help minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas: Monstra CMS versão 3.0.4 Descrição: Uma falha no Monstra CMS permite que invasores executem scripts web ou HTML arbitrários ao contornar o filtro de extensão de arquivo e fazer upload de arquivos HTML maliciosos. Recomendações: Para o Monstra CMS versão 3.0.4, atualize para uma versão que corrija a falha de contorno do filtro de extensão de arquivo para impedir a execução de scripts web ou HTML arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GilaCMS versão 1.11.4 Descrição: O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela ocorre por meio do parâmetro `$ GET` no arquivo `/src/core/controllers/cm.php`. Isso permite uma possível exploração. Recomendações: Para o GilaCMS versão 1.11.4, considere restringir o acesso ao arquivo `/src/core/controllers/cm.php` até que um patch esteja disponível. Como solução temporária, evite usar o parâmetro `$ GET` neste arquivo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GilaCMS versão 1.11.4 Descrição: Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que invasores executem scripts da Web ou HTML arbitrários por meio de um arquivo SVG malicioso. Isso pode levar à execução de código malicioso no navegador da vítima. Recomendações: Para o GilaCMS versão 1.11.4, considere desativar a capacidade de fazer upload de arquivos SVG até que uma correção esteja disponível para impedir a exploração dessa vulnerabilidade. Restrinja o acesso a áreas onde o upload de arquivos é possível para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: GilaCMS versão 1.11.4 Descrição: Uma vulnerabilidade de script entre sites (XSS) no endpoint /admin/content/post do GilaCMS permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa inserida no campo `Tags`. Recomendações: Para o GilaCMS versão 1.11.4, considere desativar o campo `Tags` no endpoint /admin/content/post até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao endpoint /admin/content/post para minimizar o risco de execução de scripts web arbitrários. Evite usar o campo `Tags` no endpoint afetado até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas: GilaCMS versão 1.11.4 Descrição: Uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF) permite que invasores autenticados criem contas de administrador arbitrariamente. Recomendações: Para o GilaCMS versão 1.11.4, atualize para uma versão que inclua uma correção para essa vulnerabilidade, a fim de evitar a exploração.

**Name of the Vulnerable Software and Affected Versions** LayerBB versions 1.1.1 through 1.1.3 **Description** The issue is related to SQL Injection via the "search.php" API endpoint, specifically through the `search query` parameter. This allows for potential exploitation. **Recommendations** For versions 1.1.1 and 1.1.3, avoid using the `search query` parameter in the "search.php" endpoint until a fix is available. As a temporary workaround, consider restricting access to the "search.php" endpoint to minimize the risk of exploitation.