Yaozhangyiqiyin

**Nome do Software Vulnerável e Versões Afetadas** Xiongwei Smart Catering Cloud Platform versão 2.1.6446.28761 **Descrição** Existe uma vulnerabilidade de injeção de SQL no Xiongwei Smart Catering Cloud Platform versão 2.1.6446.28761. O problema está localizado em uma função desconhecida dentro do arquivo `/dishtrade/dish trade detail get`. A manipulação do argumento `filter` pode resultar em injeção de SQL. Isso pode ser explorado remotamente. O exploit está disponível publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Shenzhen Sixun Software Sixun Shanghui Group Business Management System versão 4.10.24.3 **Descrição** Existe uma vulnerabilidade no Shenzhen Sixun Software Sixun Shanghui Group Business Management System que permite uma recuperação de senha insegura. Este problema está relacionado a uma funcionalidade desconhecida no arquivo `/api/GylOperator/UpdatePasswordBatch`. O ataque pode ser iniciado remotamente e há um exploit disponível publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Shenzhen Sixun Software Sixun Shanghui Group Business Management System versão 4.10.24.3 **Descrição** Existe uma falha de segurança no Shenzhen Sixun Software Sixun Shanghui Group Business Management System. O problema afeta alguma funcionalidade desconhecida associada ao arquivo `/ExportFiles/`, potencialmente levando ao acesso não autorizado a arquivos ou diretórios. Este acesso pode ser obtido remotamente. A exploração é descrita como tendo alta complexidade e sendo difícil, mas um exploit foi liberado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do ketr JEPaaS até 7.2.8 **Descrição** Existe uma falha no ketr JEPaaS que permite autorização inadequada. Isso se deve à manipulação do argumento `Authorization` no arquivo '/je/load'. O ataque pode ser executado remotamente e o exploit foi divulgado publicamente. **Recomendações** Versões anteriores à 7.2.8 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Shenzhen Sixun Software Sixun Shanghui Group Business Management System versão 7 **Descrição** Uma vulnerabilidade foi identificada no sistema, afetando uma parte desconhecida do arquivo "/api/GylOperator/LoadData". A manipulação resulta em divulgação de informações e pode ser iniciada remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o Shenzhen Sixun Software Sixun Shanghui Group Business Management System versão 7, como medida temporária, considere restringir o acesso ao endpoint "/api/GylOperator/LoadData" até que um patch esteja disponível. Evite utilizar este endpoint remotamente para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Shenzhen Sixun Software Sixun Shanghui Group Business Management System versão 7 **Descrição** Foi identificado um problema no componente de Interface de Redefinição de Senha, afetando especificamente o arquivo /WebPages/Adm/OperatorStop.asp. A manipulação do argumento `OperId` leva a uma autorização inadequada, permitindo ataques remotos. A complexidade de um ataque é relativamente alta e a exploração é conhecida por ser difícil. **Recomendações** Para o Shenzhen Sixun Software Sixun Shanghui Group Business Management System versão 7, como solução alternativa temporária, considere restringir o acesso à Interface de Redefinição de Senha ou desabilitar a manipulação do argumento `OperId` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.