Yitclara

**Nome do Software Vulnerável e Versões Afetadas** otale Tale Blog versão 2.0.5 **Descrição** Um problema foi encontrado no otale Tale Blog. Esta questão afeta uma parte desconhecida do arquivo /%61dmin/api/logs. A manipulação leva à autenticação inadequada. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. Esta questão afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Para a versão 2.0.5, como uma solução temporária, considere restringir o acesso ao endpoint `/admin/api/logs` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta questão.

**Nome do Software Vulnerável e Versões Afetadas** otale Tale Blog versão 2.0.5 **Descrição** Foi encontrada uma vulnerabilidade no otale Tale Blog, afetando a função `saveOptions` do arquivo `/options/save` do componente Configurações do Site. A manipulação do argumento `Site Title` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor. **Recomendações** Como medida de contorno temporária, considere desativar a função `saveOptions` até que uma correção esteja disponível. Restrinja o acesso ao endpoint `/options/save` para minimizar o risco de exploração. Evite usar o argumento `Site Title` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** aaluoxiang oa system version 1.0 **Description** A critical issue has been found in the processing of the file src/main/resources/mappers/address-mapper.xml. The manipulation of the `outtype` argument leads to SQL injection. This issue can be exploited remotely. **Recommendations** For aaluoxiang oa system version 1.0, as a temporary workaround, consider restricting access to the `address-mapper.xml` file until a patch is available. Avoid using the `outtype` argument in the affected processing until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mini-Tmall até 20250211 **Descrição** Foi encontrado um problema crítico no Mini-Tmall, afetando a função select do arquivo com/xq/tmall/dao/ProductMapper.java. A manipulação do argumento `orderBy` resulta em injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para versões do Mini-Tmall até 20250211, como medida paliativa temporária, considere restringir o uso do argumento `orderBy` na função select do arquivo ProductMapper.java para minimizar o risco de exploração via injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Mini-Tmall versions up to 20250211 **Description** The issue concerns a cross-site scripting vulnerability in the Admin Name /admin section. **Recommendations** For Mini-Tmall versions up to 20250211, update to a version that includes a fix for this issue to prevent cross-site scripting attacks.