Yu22X

**Nome do Software Vulnerável e Versões Afetadas** Versões do EyouCMS anteriores à 1.7.7 **Descrição** Existe uma falha de segurança no EyouCMS até a versão 1.7.6. O problema está relacionado a uma injeção de SQL no componente de Gerenciamento de Templates do Backend, especificamente no arquivo /application/admin/logic/FilemanagerLogic.php. A manipulação do argumento `content` em uma função desconhecida dentro deste arquivo pode resultar em injeção de SQL. O ataque pode ser executado remotamente e um exploit foi disponibilizado publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Atualize o EyouCMS para a versão 1.7.7 ou posterior. Como medida de contorno temporária, restrinja o acesso ao arquivo /application/admin/logic/FilemanagerLogic.php.

**Nome do Software Vulnerável e Versões Afetadas** dayrui XunRuiCMS versões até a 4.7.1 **Descrição** Existe uma falha no dayrui XunRuiCMS que permite cross-site scripting. O problema está localizado no componente JSONP Callback Handler, especificamente dentro da função `dr show error`/`dr exit msg` do arquivo `/dayrui/Fcms/Init.php`. A manipulação do argumento `callback` pode acionar a falha. O exploit está disponível publicamente. O fornecedor foi contatado, mas não respondeu. **Recomendações** Versões anteriores à 4.7.1 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do CmsEasy até a 7.7.7 **Descrição** Existe uma falha no CmsEasy que permite injeção de código. O problema está localizado na função `savetemp action` dentro da biblioteca `/lib/admin/template admin.php` do componente Backend Template Management Page. A manipulação do argumento `content/tempdata` pode desencadear a falha, permitindo potencialmente a execução remota de código. O exploit para este problema foi publicado. **Recomendações** Versões anteriores a 7.7.7 devem ser usadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do DedeCMS anteriores à 5.7.118 **Descrição** Existe uma falha no DedeCMS que permite injeção de SQL. O problema ocorre devido à manipulação do argumento `orderby` no arquivo /freelist main.php. Isso pode ser explorado remotamente. O exploit está disponível publicamente. **Recomendações** Atualize o DedeCMS para uma versão superior à 5.7.118.

**Nome do Software Vulnerável e Versões Afetadas** Versões do SeaCMS anteriores à 13.4 **Descrição** Existe uma falha no SeaCMS que permite injeção de SQL. O problema está localizado em uma função desconhecida dentro do arquivo `js/player/dmplayer/dmku/class/mysqli.class.php`. A manipulação do argumento `page/limit` pode levar à exploração. O ataque pode ser realizado remotamente e o exploit está disponível publicamente. **Recomendações** Atualize o SeaCMS para a versão 13.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do SeaCMS até a 13.3 **Descrição** Existe uma vulnerabilidade de injeção de SQL no SeaCMS. O problema está localizado no arquivo `admin video.php`, especificamente através da manipulação do argumento `e id` dentro de uma função desconhecida. Isso permite exploração remota. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.