4M3Rr0R

A vulnerability was identified in BichitroGan ISP Billing Software 2025.3.20. This affects an unknown function of the file /? route=customers/edit/ of the component Customer Handler. Such manipulation leads to cross site scripting. The attack can be executed remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.

A security flaw has been discovered in BichitroGan ISP Billing Software 2025.3.20. This impacts an unknown function of the file /? route=settings/users-view/ of the component Profile Page Handler. Performing a manipulation results in cross site scripting. The attack is possible to be carried out remotely. The vendor was contacted early about this disclosure but did not respond in any way.

A weakness has been identified in BichitroGan ISP Billing Software 2025.3.20. Affected is an unknown function of the file /? route=pool/add of the component Pool List Interface. Executing a manipulation can lead to cross site scripting. The attack may be performed from remote. The exploit has been made available to the public and could be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.

**Name of the Vulnerable Software and Affected Versions** BichitroGan ISP Billing Software version 2025.3.20 **Description** A flaw exists in BichitroGan ISP Billing Software that allows for improper control of resource identifiers. The issue is located within an unknown function of the file ‘/? route=settings/users-view/’ of the Endpoint component. The `ID` parameter can be manipulated, enabling remote exploitation. The exploit has been publicly released. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Bdtask Bhojon All-In-One Restaurant Management System versions prior to 20260117 **Description** A flaw exists in the User Information Module of Bdtask Bhojon All-In-One Restaurant Management System. Manipulating the `fullname` argument in the file '/dashboard/home/profile' can lead to cross site scripting. This issue is remotely exploitable. The details of the exploit have been publicly disclosed. **Recommendations** Versions prior to 20260117 should be updated. As a temporary workaround, consider restricting or carefully validating the `fullname` argument to prevent malicious input.

**Name of the Vulnerable Software and Affected Versions** Bdtask SalesERP versions prior to 20260116 **Description** A security issue exists in Bdtask SalesERP related to improper authorization. The issue affects processing within the Administrative Endpoint component. Manipulation of the `ci session` argument can lead to unauthorized access. The exploit has been publicly disclosed, and the vendor was informed but did not respond. **Recommendations** Update Bdtask SalesERP to a version later than 20260116.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask Bhojon All-In-One Restaurant Management System versões anteriores a 20260117 **Description** Um erro de lógica de negócio existe no Add-to-Cart Submission Endpoint. O backend aceita valores de preço controlados pelo usuário sem validá-los com os dados do produto no servidor, permitindo que um invasor remoto manipule os argumentos `price` ou `allprice` em uma requisição POST para o endpoint '/hungry/addtocart'. Isso pode resultar no processamento de preços fraudulentos ou reduzidos pelo servidor. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Bdtask Bhojon All-In-One Restaurant Management System versions up to 20260116 **Description** A business logic issue exists in the Checkout component of Bdtask Bhojon All-In-One Restaurant Management System. The issue is related to the manipulation of the `orggrandTotal`, `vat`, `service charge`, and `grandtotal` arguments within the file '/hungry/placeorder'. This manipulation can lead to business logic errors and can be exploited remotely. The exploit has been publicly disclosed. The vendor was contacted regarding this disclosure but did not respond. **Recommendations** Versions prior to 20260116 should be updated. As a temporary workaround, restrict or carefully validate the `orggrandTotal`, `vat`, `service charge`, and `grandtotal` arguments in the '/hungry/placeorder' file.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask/CodeCanyon Isshue Multi Store eCommerce Shopping Cart Solution versão 5 **Descrição** Existe uma falha de segurança no Bdtask/CodeCanyon Isshue Multi Store eCommerce Shopping Cart Solution versão 5. A questão envolve a manipulação da ordem dos argumentos no endpoint `/submit checkout`, especificamente os parâmetros `order total amount` e `cart total amount`, levando à imposição do fluxo de trabalho comportamental. Esta manipulação pode ser realizada remotamente. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask Flight Booking Software versão 4 **Descrição** Existe uma falha no Bdtask Flight Booking Software versão 4 que permite o upload de arquivos sem restrições através da Página de Editar Perfil, especificamente via o arquivo `/agent/profile/edit`. Esta manipulação pode ser iniciada remotamente. O exploit está disponível publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask/CodeCanyon News365 versões até a 7.0.3 **Descrição** Existe uma falha de segurança no Bdtask/CodeCanyon News365. O problema envolve upload de arquivos sem restrição devido à manipulação do argumento `profile image/banner image` dentro de uma função no arquivo '/admin/dashboard/profile'. Isso pode ser explorado remotamente. O exploit foi divulgado publicamente. O fornecedor foi contatado, mas não respondeu. **Recomendações** Versões anteriores à 7.0.3 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask/CodeCanyon SalesERP versões até 20250728 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites no Bdtask/CodeCanyon SalesERP. O problema afeta um componente não especificado e permite a execução remota de ataques. O exploit está disponível publicamente. O fornecedor foi notificado sobre este problema, mas não forneceu uma resposta. **Recomendações** As versões até 20250728 devem ser atualizadas quando uma correção estiver disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Bdtask/CodeCanyon SalesERP versions up to 20250728 **Description** A security issue exists in Bdtask/CodeCanyon SalesERP. The issue is related to the User Profile Handler component and specifically affects code within the `/edit profile` file. Manipulation of the `first name`/`last name` arguments can lead to basic cross site scripting. This manipulation is possible remotely. The exploit has been published. **Recommendations** Versions prior to 20250728 should be updated. As a temporary workaround, consider restricting or carefully validating the `first name` and `last name` parameters in the `/edit profile` file.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask/CodeCanyon Wholesale Inventory Control and Inventory Management System versões até 20250320 **Descrição** Existe uma vulnerabilidade de segurança no Bdtask/CodeCanyon Wholesale Inventory Control and Inventory Management System. A falha envolve algum processamento desconhecido e permite ataques de falsificação de solicitação entre sites (cross-site request forgery). Esses ataques podem ser iniciados remotamente. O exploit para esta falha foi divulgado publicamente e o fornecedor foi notificado, mas não respondeu. **Recomendações** As versões até 20250320 devem ser atualizadas quando um patch estiver disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask/CodeCanyon Wholesale Inventory Control and Inventory Management System versões até 20250320 **Descrição** Existe uma vulnerabilidade de cross-site scripting no Bdtask/CodeCanyon Wholesale Inventory Control and Inventory Management System. O problema está relacionado à manipulação dos argumentos `first name`/`last name` em um arquivo localizado em `/edit profile`. Essa manipulação afeta uma função desconhecida dentro do sistema e permite a execução remota do ataque. O exploit foi divulgado publicamente. **Recomendações** As versões até 20250320 devem ser atualizadas para uma versão mais recente e segura, quando disponível. Como solução temporária, considere sanitizar os parâmetros `first name` e `last name` antes de processá-los no arquivo `/edit profile`.

**Name of the Vulnerable Software and Affected Versions** Bdtask/CodeCanyon Isshue Multi Store eCommerce Shopping Cart Solution versions prior to 4.1 **Description** A flaw exists in Bdtask/CodeCanyon Isshue Multi Store eCommerce Shopping Cart Solution. Manipulation of the `Search` argument in an unknown function within the file '/dashboard/Ccustomer/manage customer' can lead to cross site scripting. This attack can be initiated remotely. The details of the exploit have been publicly released. The vendor was notified but did not respond. **Recommendations** Update Bdtask/CodeCanyon Isshue Multi Store eCommerce Shopping Cart Solution to version 4.1 or later. As a temporary workaround, sanitize the `Search` parameter before processing it in the affected function within the '/dashboard/Ccustomer/manage customer' file.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask Pharmacy Management System versões anteriores à 9.4 **Descrição** Existe uma falha no Bdtask Pharmacy Management System que permite o bypass de autorização. Isso ocorre mediante a manipulação de uma função desconhecida dentro do arquivo `/user/edit user/` do componente User Profile Handler. A exploração remota é possível e o exploit está disponível publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Atualize para uma versão superior à 9.4.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask Wholesale Inventory Control and Inventory Management System versões anteriores à 20251014 **Descrição** Existe um problema de segurança no Bdtask Wholesale Inventory Control and Inventory Management System. A manipulação dos argumentos `first name` e `last name` dentro de uma função desconhecida do arquivo '/Admin dashboard/edit profile' pode resultar em injeção de SQL. O ataque pode ser executado remotamente. Os detalhes do exploit foram divulgados publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores à 20251014 devem ser atualizadas. Como solução temporária, restrinja ou valide cuidadosamente a entrada dos argumentos `first name` e `last name` no arquivo '/Admin dashboard/edit profile'.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask Flight Booking Software versões anteriores à 3.2 **Descrição** Existe uma falha no Bdtask Flight Booking Software que permite o upload de arquivos sem restrições. Este problema afeta o Módulo de Informações do Pacote, especificamente no arquivo `/b2c/package-information`. O ataque pode ser iniciado remotamente. Os detalhes do exploit foram divulgados publicamente. O fornecedor foi notificado, mas não forneceu uma resposta. **Recomendações** Atualize o Bdtask Flight Booking Software para a versão 3.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Bdtask Flight Booking Software versões anteriores à 3.1 **Descrição** Existe uma vulnerabilidade de segurança no Bdtask Flight Booking Software. O problema envolve capacidades de upload sem restrições através de uma funcionalidade desconhecida dentro do arquivo `/admin/transaction/deposit` do componente Deposit Handler. Esta manipulação pode ser iniciada remotamente. O exploit foi divulgado publicamente e o fornecedor foi informado, mas não respondeu. **Recomendações** Atualize o Bdtask Flight Booking Software para uma versão posterior à 3.1.