Yinfei6

**Name of the Vulnerable Software and Affected Versions** Vinga WR-AC1200 versions 81.102.1.4370 and before **Description** A password vulnerability allows a remote attacker to execute arbitrary code via the `password` parameter at the "/goform/sysTools" and "/adm/systools.asp" endpoints. This issue has been identified in scans probing for vulnerable routers. **Recommendations** For Vinga WR-AC1200 versions 81.102.1.4370 and before, consider disabling access to the "/goform/sysTools" and "/adm/systools.asp" endpoints until a patch is available. As a temporary workaround, restrict the use of the `password` parameter in these endpoints to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** DEK-1705 version 34.23.1 and earlier **Description** A command execution issue was discovered in the device. **Recommendations** For DEK-1705 version 34.23.1 and earlier, update to a version later than 34.23.1 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** SA-WR915ND router firmware version 17.35.1 **Description** The issue allows for code execution. **Recommendations** For SA-WR915ND router firmware version 17.35.1, at the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** JHR-N916R router firmware versions prior to 21.11.1.1484 **Description** A command execution issue was found. This allows for the execution of commands, potentially leading to unauthorized access or control. **Recommendations** For versions prior to 21.11.1.1484, update to version 21.11.1.1484 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Kirin Fortress Machine version 1.7-2020-0610 **Description** A SQL Injection issue allows attackers to execute arbitrary code via the "/admin.php?controller=admin commonuser" API endpoint, specifically through the `controller` parameter. This enables attackers to potentially gain unauthorized access and manipulate data. **Recommendations** For Kirin Fortress Machine version 1.7-2020-0610, consider restricting access to the "/admin.php?controller=admin commonuser" API endpoint until a patch is available. As a temporary workaround, avoid using the `controller` parameter in the affected API endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do dedecms anteriores à V5.7.103 **Descrição** O problema está relacionado a injeção de SQL. No arquivo sys sql n query.php, não há restrições à consulta SQL, o que pode ser explorado. **Recomendações** Para versões do dedecms anteriores à V5.7.103, atualize para a versão V5.7.103 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Hillstone Firewall SG-6000, versões 5.0.4.0 e anteriores **Descrição** O problema está relacionado a um controle de acesso incorreto, permitindo que um invasor contorne as permissões e obtenha privilégios de superadministrador no ambiente de fundo do firewall. Isso se deve a um erro de configuração no módulo de relatórios. **Recomendações** Para o Hillstone Firewall SG-6000 versões 5.0.4.0 e anteriores, atualize para uma versão posterior à 5.0.4.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo de relatórios para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do firewall h3c <= 3.10 ESS6703 **Descrição** O problema está relacionado a uma violação de privilégios. **Recomendações** Para as versões do firewall h3c <= 3.10 ESS6703, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** JIZHI CMS versão 1.9.4 **Descrição** Uma falha de CSRF permite a criação de uma conta de administrador através da página inicial ou do endpoint da API “/admin.php/Admin/adminadd.html”. **Recomendações** Para o JIZHI CMS versão 1.9.4, atualize para uma versão mais recente que contenha uma correção para este problema, se disponível. Como solução temporária, considere restringir o acesso ao endpoint “/admin.php/Admin/adminadd.html” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** dedecmdv6 versão 6.1.9 **Descrição** A vulnerabilidade permite a exclusão arbitrária de arquivos por meio do endpoint “file manage control.php”. **Recomendações** Para o dedecmdv6 versão 6.1.9, considere restringir o acesso ao endpoint “file manage control.php” até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** dedecmdv6 versão 6.1.9 **Descrição** O problema está relacionado a injeção de SQL. Ele afeta o arquivo sys sql query.php. **Recomendações** Para o dedecmdv6 versão 6.1.9, considere restringir o acesso ao arquivo sys sql query.php até que uma correção esteja disponível. Como solução temporária, evite usar o arquivo `sys sql query.php` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** dedecmdv6 versão 6.1.9 **Descrição** A vulnerabilidade permite a execução remota de código (RCE) por meio do endpoint `file manage control.php`. **Recomendações** Para o dedecmdv6 versão 6.1.9, considere restringir o acesso ao endpoint `file manage control.php` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Boa versão 0.94.14rc21 **Descrição** O problema diz respeito a uma injeção de SQL por meio da variável `username`. No entanto, ressalta-se que essa vulnerabilidade é contestada por vários terceiros, pois o Boa não oferece suporte a SQL. **Recomendações** Para a versão 0.94.14rc21 do Boa, como solução temporária, considere restringir o uso da variável `username` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.