Zre0X1C

**Nome do Software Vulnerável e Versões Afetadas** CLTPHP versão 3.0 **Descrição** Existe uma vulnerabilidade de segurança no CLTPHP 3.0 relacionada à injeção de SQL. A manipulação do argumento `keyword` dentro de uma função desconhecida do arquivo `/home/search.html` pode levar à exploração. O ataque pode ser realizado remotamente e detalhes sobre o exploit foram divulgados publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sui Shang Information Technology Suishang Enterprise-Level B2B2C Multi-User Mall System versão 1.0 **Descrição** Existe uma vulnerabilidade de cross-site scripting no Sui Shang Information Technology Suishang Enterprise-Level B2B2C Multi-User Mall System versão 1.0. O problema está relacionado à manipulação do argumento `keywords` no arquivo '/i/359'. Isso permite a execução remota do ataque. Os detalhes do exploit foram divulgados publicamente e o fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sui Shang Information Technology Suishang Enterprise-Level B2B2C Multi-User Mall System versão 1.0 **Descrição** Existe uma falha no sistema que permite cross-site scripting. A manipulação do argumento `category id` no arquivo '/Point/index/activity state/1/category id/1001' pode desencadear esse problema. O ataque pode ser executado remotamente. O exploit foi publicado. O fornecedor foi contatado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do 07FLYCMS até 20250831 Versões do 07FLY-CMS até 20250831 Versões do 07FlyCRM até 20250831 **Descrição** Existe uma vulnerabilidade de injeção de SQL devido à manipulação do parâmetro `Username` no arquivo `/index.php/Login/login`. O ataque pode ser iniciado remotamente. O exploit foi tornado público. O fornecedor foi contatado, mas não respondeu. **Recomendações** Versões até 20250831: Evite utilizar o parâmetro `Username` no endpoint `/index.php/Login/login`.

**Nome do Software Vulnerável e Versões Afetadas** 07FLYCMS, 07FLY-CMS e 07FlyCRM versões até 20250831 **Descrição** Existe uma vulnerabilidade de cross-site scripting em 07FLYCMS, 07FLY-CMS e 07FlyCRM. A vulnerabilidade está localizada no arquivo `/index.php/sysmanage/Login`, onde a manipulação do parâmetro `Name` pode levar à execução de scripts maliciosos. O ataque pode ser realizado remotamente e o exploit foi divulgado publicamente. O fornecedor foi contatado a respeito desta divulgação, mas não respondeu. **Recomendações** Versões até 20250831 estão afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** 07FLYCMS, 07FLY-CMS e 07FlyCRM versões até 20250831 **Descrição** Existe uma falha de cross-site scripting (XSS) devido à manipulação do argumento `Name` em uma parte desconhecida do arquivo `/index.php`. Isso permite a execução remota de scripts. O exploit foi publicado. O fornecedor foi contatado sobre este problema, mas não respondeu. **Recomendações** Versões até 20250831 estão afetadas. Como solução alternativa temporária, considere restringir o acesso ao arquivo `/index.php` para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Yida ECMS Consulting Enterprise Management System versão 1.0 Descrição: Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no Yida ECMS Consulting Enterprise Management System 1.0. A vulnerabilidade está localizada no componente de Manipulação de Requisição POST, especificamente dentro do endpoint da API `/login.do`. A manipulação do parâmetro `requestUrl` permite a execução de scripts maliciosos. O exploit foi divulgado publicamente. Recomendações: Como medida paliativa temporária, considere restringir o acesso ao endpoint da API `/login.do` até que uma correção esteja disponível. Sanitizar o parâmetro `requestUrl` para prevenir a injeção de scripts maliciosos.

Nome do Software Vulnerável e Versões Afetadas: erjinzhi 10OA versão 1.0 Descrição: Existe uma falha de segurança no erjinzhi 10OA versão 1.0. O problema está relacionado a alguma funcionalidade desconhecida no arquivo `/trial/mvc/item`. A manipulação do argumento `Name` pode levar a cross-site scripting. O ataque pode ser iniciado remotamente e o exploit foi divulgado publicamente. O fornecedor foi contatado, mas não respondeu. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: erjinzhi 10OA versão 1.0 Descrição: Existe uma falha no erjinzhi 10OA versão 1.0, impactando uma função desconhecida dentro do arquivo `/trial/mvc/finder`. A manipulação do argumento `Name` pode levar a cross-site scripting. Este problema é potencialmente explorável remotamente e detalhes sobre o exploit foram divulgados publicamente. O fornecedor foi notificado, mas não respondeu. Recomendações: Como mitigação, sanitizar ou codificar o argumento `Name` para prevenir a injeção de scripts maliciosos. Considere restringir o acesso ao arquivo `/trial/mvc/finder`.

Nome do Software Vulnerável e Versões Afetadas: erjinzhi 10OA versão 1.0 Descrição: Existe uma vulnerabilidade de path traversal devido à manipulação do argumento `File` no arquivo `/view/file.aspx`. O exploit está disponível publicamente. O fornecedor foi contatado, mas não respondeu. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: erjinzhi 10OA versão 1.0 Descrição: Existe uma vulnerabilidade no erjinzhi 10OA versão 1.0. O problema envolve cross-site scripting causado pela manipulação do argumento `Name` em uma função desconhecida do arquivo `/trial/mvc/catalogue`. Esta manipulação pode ser iniciada remotamente. O exploit foi divulgado publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Como solução temporária, considere restringir o acesso ao arquivo `/trial/mvc/catalogue` para minimizar o risco de exploração. Sanitize o argumento `Name` para prevenir a injeção de scripts maliciosos. Desabilite ou remova a função vulnerável caso não seja essencial para a funcionalidade da aplicação.

**Nome do Software Vulnerável e Versões Afetadas** Jinher OA versão 1.0 **Descrição** Existe uma vulnerabilidade de Cross-site scripting devido à manipulação do argumento `Account`. O problema afeta uma função desconhecida dentro do arquivo `/jc6/platform/sys/login!changePassWord.action` do componente POST Request Handler. O ataque pode ser executado remotamente. O exploit está agora público. **Recomendações** Como contorno temporário, considere restringir o acesso ao endpoint `/jc6/platform/sys/login!changePassWord.action` até que uma correção esteja disponível. Sanitize o argumento `Account` para evitar a injeção de scripts maliciosos.

**Nome do Software Vulnerável e Versões Afetadas** Campcodes Online Loan Management System versão 1.0 **Descrição** Existe uma vulnerabilidade no Campcodes Online Loan Management System que permite injeção de SQL. O problema está localizado em uma função desconhecida dentro do arquivo `/ajax.php?action=delete borrower`. A manipulação do parâmetro `ID` pode disparar a injeção. O exploit está disponível publicamente e pode ser explorado remotamente. **Recomendações** Como solução temporária, considere restringir o acesso ao arquivo `/ajax.php?action=delete borrower` até que uma correção esteja disponível. Sanitizar o parâmetro `ID` antes de utilizá-lo em qualquer consulta ao banco de dados.

**Nome do Software Vulnerável e Versões Afetadas** Jinher OA versão 1.0 **Descrição** Existe uma vulnerabilidade no processamento do arquivo `GetTreeDate.aspx` no Jinher OA. A manipulação do argumento `ID` resulta em uma injeção de SQL. A exploração remota é possível. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Campcodes Online Loan Management System versão 1.0 Descrição: Existe uma vulnerabilidade no Campcodes Online Loan Management System que permite injeção de SQL. O problema afeta uma parte desconhecida do arquivo `/ajax.php?action=delete plan`. A manipulação do argumento `ID` pode levar à exploração bem-sucedida. O ataque pode ser realizado remotamente e o exploit foi divulgado publicamente. Recomendações: Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.