Zhendezuile

**Nome do software vulnerável e versões afetadas** HongCMS versão 3.0.0 **Descrição** A vulnerabilidade permite a exclusão arbitrária de arquivos. Isso pode ser feito por meio do componente `/admin/index.php/template/ajax?action=delete`. **Recomendações** Para o HongCMS versão 3.0.0, como solução temporária, considere restringir o acesso ao endpoint `/admin/index.php/template/ajax?action=delete` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** ZCMS versão v20170206 **Descrição** Foi descoberta uma falha de inclusão de arquivo no ZCMS, que pode ser explorada por meio do endpoint “index.php” com parâmetros específicos, incluindo `m`, `c` e `a`. A vulnerabilidade é acionada quando um invasor manipula o parâmetro `a`, definido como `sp set config`, permitindo a inclusão de arquivos maliciosos. **Recomendações** Para a versão v20170206 do ZCMS, como solução temporária, considere restringir o acesso ao endpoint “index.php” com os parâmetros `m=home`, `c=home` e `a=sp set config` até que um patch esteja disponível. Evite usar o parâmetro `a` com o valor `sp set config` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ZCMS versão v20170206 **Descrição** Foi detectada uma vulnerabilidade de script entre sites (XSS) armazenada no ZCMS. A vulnerabilidade é explorada por meio do endpoint `index.php` com parâmetros específicos: `m=home`, `c=message` e `a=add`. Isso permite a execução de scripts maliciosos. **Recomendações** Para a versão v20170206 do ZCMS, como solução temporária, considere restringir o acesso ao endpoint `index.php` com os parâmetros `m=home`, `c=message` e `a=add` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GreenCMS versão 2.3.0603 **Descrição** A vulnerabilidade permite a exclusão arbitrária de arquivos. Isso pode ser feito por meio do endpoint da API “/index.php?m=admin&c=custom&a=plugindelhandle&plugin name=”, onde a variável `plugin name` é utilizada. **Recomendações** Para o GreenCMS versão 2.3.0603, como solução temporária, considere restringir o acesso ao endpoint da API “/index.php?m=admin&c=custom&a=plugindelhandle&plugin name=” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** dhcms versão 20170919 **Descrição** A vulnerabilidade permite a exclusão arbitrária de pastas por meio do endpoint da API `/admin.php?r=admin/AdminBackup/del`. Isso pode potencialmente levar à perda de dados ou à interrupção do serviço. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para a versão 20170919 do dhcms, como solução temporária, considere restringir o acesso ao endpoint da API `/admin.php?r=admin/AdminBackup/del` até que um patch esteja disponível. Evite usar o parâmetro `del` no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** bloofoxCMS versão 0.5.2.1 **Descrição** O problema está relacionado a uma vulnerabilidade que permite o upload arbitrário de arquivos. Essa vulnerabilidade pode ser explorada por meio do endpoint da API “/admin/index.php?mode=content&page=media&action=edit”. **Recomendações** Para a versão 0.5.2.1 do bloofoxCMS, considere restringir o acesso ao endpoint “/admin/index.php?mode=content&page=media&action=edit” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Taocms versão 3.0.2 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL no Taocms por meio do parâmetro `id` no arquivo includeModelCategory.php. **Recomendações** Para a versão 3.0.2 do Taocms, considere restringir o acesso ao parâmetro `id` vulnerável no arquivo includeModelCategory.php até que uma correção esteja disponível.