Zonesec

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.2 **Descrição** Foi identificada uma vulnerabilidade no SeaCMS, afetando o processamento do arquivo /admin pay.php. A manipulação do argumento `cstatus` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para a versão 13.2 do SeaCMS, considere desativar o argumento `cstatus` no arquivo /admin pay.php como uma medida de contorno temporária para minimizar o risco de exploração via cross-site scripting. Restrinja o acesso ao arquivo /admin pay.php para minimizar o risco de exploração até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** SeaCMS versão 13.2 **Descrição** Uma vulnerabilidade problemática foi encontrada no SeaCMS, afetando código desconhecido do arquivo /admin paylog.php. A manipulação do argumento `cstatus` resulta em Cross-Site Scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para a versão 13.2 do SeaCMS, considere desabilitar o acesso ao arquivo /admin paylog.php até que uma correção esteja disponível. Restrinja a manipulação do argumento `cstatus` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** SourceCodester Simple To-Do List System version 1.0 **Description** A critical vulnerability was found in the SourceCodester Simple To-Do List System. The issue affects an unknown function of the file /delete task.php. The manipulation of the `ID` argument leads to SQL injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. **Recommendations** As a temporary workaround, consider disabling the functionality related to the /delete task.php file until a patch is available. Restrict access to the `ID` argument in the affected file to minimize the risk of exploitation. Avoid using the `ID` argument in the /delete task.php file until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Simple To-Do List System versão 1.0 **Descrição** Uma vulnerabilidade crítica foi encontrada no SourceCodester Simple To-Do List System, afetando uma funcionalidade desconhecida do arquivo /complete task.php. A manipulação do argumento `ID` resulta em injeção de SQL. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o SourceCodester Simple To-Do List System versão 1.0, considere desabilitar o acesso ao arquivo /complete task.php até que um patch esteja disponível. Como medida temporária, restrinja a manipulação do argumento `ID` para prevenir ataques de injeção de SQL.

Name of the Vulnerable Software and Affected Versions: YouDianCMS version 9.5.21 Description: A vulnerability has been found in YouDianCMS, affecting an unknown part of the file /App/Tpl/Admin/Default/Log/index.html. The manipulation of the argument `UserName`/`LogType` leads to cross-site scripting. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. Recommendations: As a temporary workaround, consider restricting access to the vulnerable file /App/Tpl/Admin/Default/Log/index.html until a patch is available. Avoid using the arguments `UserName` and `LogType` in the affected file until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: YouDianCMS versão 9.5.21 Descrição: Uma vulnerabilidade foi identificada no YouDianCMS, afetando código desconhecido do arquivo /App/Tpl/Member/Default/Order/index.html. A manipulação do parâmetro `OrderNumber` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. Recomendações: Como solução temporária, considere restringir o acesso ao arquivo `/App/Tpl/Member/Default/Order/index.html` até que um patch esteja disponível. Evite utilizar o parâmetro `OrderNumber` no arquivo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: YouDianCMS versão 9.5.21 Descrição: Uma vulnerabilidade foi encontrada no YouDianCMS, afetando algum processamento desconhecido do arquivo /App/Tpl/Admin/Default/Channel/index.html. A manipulação do argumento `Parent` leva a cross-site scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. Recomendações: Como solução temporária, considere restringir o acesso ao arquivo /App/Tpl/Admin/Default/Channel/index.html até que um patch esteja disponível. Evite usar o argumento `Parent` no arquivo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Emlog Pro versão 2.4.3 **Descrição** Uma vulnerabilidade foi encontrada no Emlog Pro, afetando uma funcionalidade desconhecida do arquivo `/admin/twitter.php` do componente Subpage Handler. A manipulação resulta em cross-site scripting. O ataque pode ser executado remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para o Emlog Pro versão 2.4.3, considere desativar o acesso ao arquivo `/admin/twitter.php` até que um patch esteja disponível. Como solução temporária, restrinja o uso do componente Subpage Handler para minimizar o risco de exploração. Evite usar a funcionalidade afetada no arquivo `/admin/twitter.php` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Emlog Pro até a 2.4.3 **Descrição** Uma vulnerabilidade problemática foi encontrada no Emlog Pro, afetando uma seção desconhecida do arquivo /admin/article.php do componente Subpage Handler. A manipulação resulta em Cross-Site Scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para as versões do Emlog Pro até a 2.4.3, considere desabilitar o acesso ao arquivo /admin/article.php até que um patch esteja disponível. Restrinja o acesso ao componente Subpage Handler para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de registro de acesso de funcionários e visitantes SourceCodester, versão 1.0 **Descrição** Uma falha crítica afeta o processamento do arquivo /admin/maintenance/manage department.php, onde a manipulação do argumento `id` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. **Recomendações** Para o SourceCodester Employee and Visitor Gate Pass Logging System versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /admin/maintenance/manage department.php até que um patch esteja disponível. Evite usar o argumento `id` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** bg5sbk MiniCMS versão 1.11 **Descrição** Foi encontrada uma vulnerabilidade no bg5sbk MiniCMS, classificada como problemática. Ela afeta uma função desconhecida do arquivo page-edit.php, levando a uma falsificação de solicitação entre sites (CSRF). O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para o bg5sbk MiniCMS versão 1.11, considere desativar o acesso ao arquivo page-edit.php até que um patch esteja disponível. Como solução temporária, restrinja o uso da função afetada no page-edit.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do bg5sbk MiniCMS até a 1.11 **Descrição** Foi encontrada uma vulnerabilidade no bg5sbk MiniCMS, afetando algum processo desconhecido do arquivo post-edit.php, levando a uma falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para as versões do bg5sbk MiniCMS até a 1.11, considere desativar o acesso ao arquivo post-edit.php como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.