Zyhsec

**Name of the Vulnerable Software and Affected Versions** JavaMall versions prior to 994f1e2b019378ec9444cdf3fce2d5b5f72d28f0 **Description** A flaw exists in JavaMall that allows for unrestricted file uploads. This issue impacts the `Upload` function within the file `src/main/java/com/macro/mall/controller/MinioController.java`. The attack can be initiated remotely. The vendor was contacted regarding this disclosure but did not respond. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** JavaMall versions prior to 994f1e2b019378ec9444cdf3fce2d5b5f72d28f0 **Description** A path traversal issue exists due to manipulation of the `objectName` argument within the `delete` function located in the file src/main/java/com/macro/mall/controller/MinioController.java. This allows for remote exploitation. The product utilizes continuous delivery with rolling releases, making specific version details for affected and updated releases unavailable. The vendor was contacted regarding this disclosure but did not respond. **Recommendations** Versions prior to 994f1e2b019378ec9444cdf3fce2d5b5f72d28f0 should be updated. As a temporary workaround, restrict access to the `delete` function in the `MinioController.java` file until a patch is available. Avoid using untrusted or user-supplied input for the `objectName` parameter in the affected API endpoint.

**Nome do Software Vulnerável e Versões Afetadas** newbee-mall-plus versão 2.0.0 **Descrição** Existe uma falha no newbee-mall-plus versão 2.0.0 que permite upload de arquivos sem restrições. Este problema está localizado na função `Upload` do arquivo `src/main/java/ltd/newbee/mall/controller/common/UploadController.java`, afetando especificamente o componente da Página de Edição de Informações do Produto. A vulnerabilidade é acionada pela manipulação do argumento `File`, permitindo que atacantes remotos façam upload de arquivos sem restrições. Os detalhes deste problema foram divulgados publicamente. O fornecedor foi informado sobre esta divulgação, mas não forneceu uma resposta. **Recomendações** Aplique uma correção à função `Upload` em `src/main/java/ltd/newbee/mall/controller/common/UploadController.java` para restringir tipos e tamanhos de upload de arquivos.

**Nome do Software Vulnerável e Versões Afetadas** rawchen ecms (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting no rawchen ecms. A função `updateProductServlet` dentro do arquivo `src/servlet/product/updateProductServlet.java`, especificamente relacionada ao componente da Página de Adicionar Novo Produto, é suscetível à exploração através da manipulação do argumento `productName`. Isso permite exploração remota e o exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** h-moses moga-mall versões anteriores a 392d631a5ef15962a9bddeeb9f1269b9085473fa **Descrição** Existe uma vulnerabilidade no h-moses moga-mall. O problema afeta a função `addProduct` dentro do arquivo src/main/java/com/ms/product/controller/PmsProductController.java, permitindo upload de arquivos sem restrições através da manipulação do argumento `objectName`. Este ataque pode ser realizado remotamente. O produto utiliza um sistema de lançamento contínuo, e as informações de versão para releases afetados ou atualizados não são divulgadas. **Recomendações** Versões anteriores a 392d631a5ef15962a9bddeeb9f1269b9085473fa devem ser atualizadas. Como medida de contorno temporária, considere restringir o acesso à função `addProduct` até que uma atualização adequada esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** versões do yougou-mall anteriores a 0a771fa817c924efe52c8fe0a9a6658eee675f9f **Descrição** Existe um problema de path traversal na função `Upload` no arquivo src/main/java/per/ccm/ygmall/extra/controller/ResourceController.java. O software utiliza um modelo de lançamento contínuo (rolling release), o que significa entrega contínua e ausência de detalhes específicos de versão para lançamentos afetados ou atualizados. A manipulação do sistema pode resultar em path traversal. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.