Zihe

Nome do software vulnerável e versões afetadas: erjemin roll cms até 1484fe2c4e0805946a7bcf46218509fcb34883a9 Descrição: Foi identificada uma vulnerabilidade no erjemin roll cms, classificada como problemática. Isso afeta uma parte desconhecida do arquivo roll cms/roll cms/views.py. A manipulação leva à exposição de informações por meio de uma mensagem de erro. O produto adota a abordagem de lançamentos contínuos para fornecer entrega contínua e, portanto, os detalhes da versão para as versões afetadas e atualizadas não estão disponíveis. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Gouniverse GoLang CMS versão 1.4.0 Descrição: Foi identificada uma vulnerabilidade no Gouniverse GoLang CMS, afetando a função `PageRenderHtmlByAlias` do arquivo `FrontendHandler.go`. A manipulação do argumento `alias` leva a um ataque de script entre sites (XSS). O ataque pode ser iniciado remotamente. Recomendações: Para o Gouniverse GoLang CMS versão 1.4.0, atualize para a versão 1.4.1 para resolver este problema. Como solução temporária, considere restringir o uso da função `PageRenderHtmlByAlias` até que o patch seja aplicado.

Nome do software vulnerável e versões afetadas: Versões do LinuxOSsk Shakal-NG até a 1.3.3 Descrição: Foi identificada uma falha no LinuxOSsk Shakal-NG, afetando uma função desconhecida do arquivo comments/views.py. A manipulação do argumento `next` leva a um redirecionamento aberto. É possível executar o ataque remotamente. Recomendações: Para as versões do LinuxOSsk Shakal-NG até 1.3.3, aplique um patch para corrigir este problema. Como solução temporária, considere restringir o acesso ao arquivo `comments/views.py` até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: alwindoss akademy até 35caccea888ed63d5489e211c99edff1f62efdba Descrição: Foi detectado um problema em uma funcionalidade desconhecida do arquivo cmd/akademy/handler/handlers.go. A manipulação do argumento `emailAddress` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: master-nan Sweet-CMS até 5f441e022b8876f07cde709c77b5be6d2f262e3f Descrição: Uma falha crítica afeta o código desconhecido do arquivo /table/index, levando a uma injeção de SQL. O ataque pode ser iniciado remotamente. Esta vulnerabilidade é classificada como crítica. Recomendações: Para corrigir esta vulnerabilidade, recomenda-se aplicar o patch 146359646a5a90cb09156dbd0013b7df77f2aa6c. Como solução temporária, considere restringir o acesso ao endpoint /table/index até que o patch seja aplicado.

Nome do software vulnerável e versões afetadas: master-nan Sweet-CMS até 5f441e022b8876f07cde709c77b5be6d2f262e3f Descrição: Foi encontrada uma vulnerabilidade no master-nan Sweet-CMS, afetando a função `LogHandler` do arquivo `middleware/log.go`. A manipulação leva à neutralização inadequada da saída dos logs. O ataque pode ser iniciado remotamente. Esta vulnerabilidade foi classificada como problemática. Recomendações: Para corrigir esta vulnerabilidade, recomenda-se aplicar um patch. Como solução temporária, considere desativar a função `LogHandler` até que um patch esteja disponível. Restrinja o acesso ao arquivo `middleware/log.go` para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Sistema de Gerenciamento de Biblioteca Digital kitsada8621, versão 1.0 Descrição: Foi encontrada uma vulnerabilidade no Sistema de Gerenciamento de Biblioteca Digital kitsada8621. Ela foi classificada como problemática e afeta a função `JwtRefreshAuth` do arquivo `middleware/jwt refresh token middleware.go`. A manipulação do argumento `Authorization` leva à neutralização inadequada da saída dos logs. É possível lançar o ataque remotamente. Recomendações: Para corrigir este problema, aplique o patch `81b3336b4c9240f0bf50c13cb8375cf860d945f1` ao Sistema de Gerenciamento de Biblioteca Digital kitsada8621 versão 1.0. Como solução temporária, considere desativar a função `JwtRefreshAuth` até que o patch seja aplicado. Restrinja o acesso ao arquivo `middleware/jwt refresh token middleware.go` para minimizar o risco de exploração. Evite usar o argumento `Authorization` no endpoint da API afetado até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Go-Tribe gotribe até cd3ccd32cd77852c9ea73f986eaf8c301cfb6310 Descrição: Foi identificada uma vulnerabilidade crítica no Go-Tribe gotribe. O problema afeta a função `Sign` do arquivo `pkg/token/token.go`. A manipulação do argumento `config.key` leva à exposição de credenciais hard-coded. O produto utiliza entrega contínua com lançamentos contínuos, portanto, não há detalhes de versão disponíveis para as versões afetadas ou atualizadas. Recomendações: Para corrigir este problema, recomenda-se aplicar um patch identificado como 4fb9b9e80a2beedd09d9fde4b9cf5bd510baf18f. Como solução alternativa temporária, considere desativar a função `Sign` até que um patch esteja disponível. Restrinja o acesso ao arquivo `pkg/token/token.go` para minimizar o risco de exploração. Evite usar o argumento `config.key` na função afetada até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: demozx gf cms, versões 1.0 a 1.0.1 Descrição: Foi identificada uma falha crítica no componente de autenticação JWT, afetando especificamente a função `init` do arquivo `internal/logic/auth/auth.go`. Isso permite a manipulação de credenciais codificadas, possibilitando ataques remotos. A exploração dessa vulnerabilidade já foi divulgada publicamente. Recomendações: Para as versões 1.0 a 1.0.1 do demozx gf cms, atualize para a versão 1.0.2, que inclui o patch be702ada7cb6fdabc02689d90b38139c827458a5, para corrigir essa vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à função `init` do arquivo `internal/logic/auth/auth.go` até que o patch seja aplicado.

Nome do software vulnerável e versões afetadas: Go-Tribe gotribe-admin versão 1.0 Descrição: Foi encontrada uma vulnerabilidade no componente Log Handler do Go-Tribe gotribe-admin, afetando a função `InitRoutes` do arquivo internal/app/routes/routes.go. Esse problema leva à deserialização, podendo permitir a execução de código. Recomendações: Aplique um patch com o ID 45ac90d6d1f82716f77dbcdf8e7309c229080e3c para corrigir este problema. Como solução temporária, considere desativar a função `InitRoutes` até que o patch seja aplicado. Restrinja o acesso ao componente Log Handler para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Qidianbang qdbcrm versão 1.1.0 **Descrição** Foi encontrada uma vulnerabilidade no componente de redefinição de senha do Qidianbang qdbcrm, afetando alguma funcionalidade desconhecida do arquivo /user/edit?id=2. Esse problema leva à falsificação de solicitação entre sites (CSRF) e pode ser explorado remotamente. A exploração já foi divulgada ao público. **Recomendações** Para o Qidianbang qdbcrm versão 1.1.0, como solução temporária, considere restringir o acesso ao endpoint /user/edit?id=2 do componente de redefinição de senha até que um patch esteja disponível. Além disso, evite usar o parâmetro `id` no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** AlexanderLivanov FotosCMS2 versions up to 2.4.3 **Description** A problematic vulnerability was found in the Cookie Handler component of the file profile.php, where the manipulation of the `username` argument leads to cross-site scripting. The attack can be initiated remotely. **Recommendations** For AlexanderLivanov FotosCMS2 versions up to 2.4.3, consider disabling the `username` argument in the profile.php file of the Cookie Handler component as a temporary workaround until a patch is available. Restrict access to the profile.php file to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** flusity CMS (affected versions not specified) **Description** A problematic issue has been found in flusity CMS, affecting the `loadPostAddForm` function of the file core/tools/posts.php. The manipulation of the `edit post id` argument leads to cross-site scripting. The attack may be initiated remotely. **Recommendations** To fix this issue, it is recommended to apply a patch. As a temporary workaround, consider disabling the `loadPostAddForm` function until a patch is available. Restrict access to the core/tools/posts.php file to minimize the risk of exploitation. Avoid using the `edit post id` argument in the affected function until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** flusity CMS (affected versions not specified) **Description** A critical issue has been discovered, affecting the `handleFileUpload` function in the `core/tools/upload.php` file. The manipulation of the `uploaded file` argument leads to unrestricted upload. This issue can be exploited remotely. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** flusity CMS (affected versions not specified) **Description** A problematic issue was found in the function `loadPostAddForm` of the file `core/tools/posts.php`, where the manipulation of the argument `menu id` leads to cross-site scripting. This issue can be exploited remotely. **Recommendations** Apply a patch to fix this issue. As a temporary workaround, consider restricting access to the `loadPostAddForm` function in the `core/tools/posts.php` file until a patch is available.

**Name of the Vulnerable Software and Affected Versions** flusity CMS (affected versions not specified) **Description** A problematic issue has been identified in flusity CMS, affecting the `loadCustomBlocCreateForm` function within the `/core/tools/customblock.php` file of the Dashboard component. Manipulation of the `customblock place` argument can lead to cross site scripting. The attack can be initiated remotely, and the exploit has been publicly disclosed. **Recommendations** Apply the patch named 81252bc764e1de2422e79e36194bba1289e7a0a5 to resolve this issue.