Adam Wallwork

**Nome do Software Vulnerável e Versões Afetadas** VirtueMart versões 1.0.0 até 4.4.10 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) refletida não autenticada no VirtueMart. Isso permite que um atacante injete scripts maliciosos em uma página web vulnerável visualizada por outros usuários. A vulnerabilidade não requer autenticação para ser explorada. **Recomendações** Atualize o VirtueMart para uma versão posterior a 4.4.10.

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin JS Jobs de 1.3.2 a 1.4.4 Descrição: Uma vulnerabilidade de injeção de SQL no plugin JS Jobs para Joomla permite que usuários com baixos privilégios executem comandos SQL arbitrários. Recomendações: Atualize o plugin JS Jobs para uma versão posterior à 1.4.4.

**Nome do Software Vulnerável e Versões Afetadas** Plugin JS Jobs para Joomla versões 1.0.0 a 1.4.1 **Descrição** Uma vulnerabilidade de injeção de SQL no plugin JS Jobs para Joomla permite que usuários com baixos privilégios executem comandos SQL arbitrários por meio do parâmetro `cvid` na funcionalidade de candidatura de empregados. **Recomendações** Para as versões 1.0.0 a 1.4.1, restrinja o acesso à funcionalidade de candidatura de empregados para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Componente VirtueMart versões 1.0.0 a 4.4.7 para Joomla **Descrição** Uma injeção de SQL no componente VirtueMart para Joomla permite que atacantes autenticados, especificamente administradores, executem comandos SQL arbitrários na área de gerenciamento de produtos no backend. Essa falha permite que atacantes potencialmente manipulem ou extraiam dados sensíveis do banco de dados. **Recomendações** Para as versões 1.0.0 a 4.4.7 do componente VirtueMart, atualize para uma versão superior a 4.4.7 para resolver a vulnerabilidade de injeção de SQL. Como medida paliativa temporária, considere restringir o acesso à área de gerenciamento de produtos no backend para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Hikashop component versions 1.0.0 through 5.1.3 for Joomla **Description** A privilege escalation vulnerability in the Hikashop component for Joomla allows authenticated attackers, with administrator privileges, to escalate their privileges to Super Admin Permissions. **Recommendations** For Hikashop component versions 1.0.0 through 5.1.3, consider disabling the component until a patch is available to prevent privilege escalation. Restrict access to administrator roles to minimize the risk of exploitation. Avoid using the Hikashop component for critical operations until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** ConvertForms component versions 1.0.0 through 4.4.9 for Joomla **Description** A SQL injection issue in the ConvertForms component for Joomla allows authenticated attackers, specifically administrators, to execute arbitrary SQL commands. This exploitation occurs in the submission management area of the backend. **Recommendations** For ConvertForms component versions 1.0.0 through 4.4.9, update to a version that contains a fix for this issue to prevent SQL injection attacks.

**Nome do Software Vulnerável e Versões Afetadas** Componente Hikashop para Joomla versões 3.3.0 a 5.1.4 **Descrição** Uma vulnerabilidade de injeção de SQL no componente Hikashop para Joomla permite que atacantes autenticados (administrador) executem comandos SQL arbitrários na área de gerenciamento de categorias no backend. **Recomendações** Para o componente Hikashop para Joomla versões 3.3.0 a 5.1.4, considere desativar o acesso à área de gerenciamento de categorias no backend até que uma correção esteja disponível. Restrinja o acesso administrativo para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** JoomShopping component versions 1.0.0 through 1.4.3 **Description** A SQL injection issue in the country management area of the backend allows authenticated attackers with administrator privileges to execute arbitrary SQL commands. **Recommendations** For JoomShopping component versions 1.0.0 through 1.4.3, update to a version that contains a fix for this issue to prevent exploitation.

Nome do Software Vulnerável e Versões Afetadas: Plugin JS Jobs para Joomla versões 1.1.5 até 1.4.3 Descrição: Uma falha de injeção de SQL permite que atacantes autenticados, com privilégios de administrador, executem comandos SQL arbitrários. Isso é realizado por meio do parâmetro `filter email` no recurso de pesquisa de Solicitação de Exclusão de Dados do GDPR. Recomendações: Para o plugin JS Jobs para Joomla versões 1.1.5 até 1.4.3, considere desativar o recurso de pesquisa de Solicitação de Exclusão de Dados do GDPR ou restringir o acesso ao parâmetro `filter email` até que um patch esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: Plugin JS Jobs versões 1.1.5 a 1.4.3 para Joomla Descrição: Uma vulnerabilidade de injeção de SQL permite que atacantes autenticados, com privilégios de administrador, executem comandos SQL arbitrários através do parâmetro `searchpaymentstatus` na funcionalidade de pesquisa do Histórico de Pagamentos do Empregador. Recomendações: Para as versões 1.1.5 a 1.4.3 do plugin JS Jobs, considere desabilitar a funcionalidade de pesquisa do Histórico de Pagamentos do Empregador até que um patch esteja disponível para prevenir a exploração da vulnerabilidade de injeção de SQL. Restrinja o acesso ao parâmetro `searchpaymentstatus` para minimizar o risco de execução de comandos SQL arbitrários.

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.1.5 a 1.4.2 do plugin JS Jobs para Joomla **Descrição** Uma vulnerabilidade de injeção de SQL permite que atacantes autenticados, especificamente administradores, executem comandos SQL arbitrários. Isso é realizado via parâmetro `fieldfor` no recurso GDPR Field. **Recomendações** Para as versões 1.1.5 a 1.4.2 do plugin JS Jobs, considere desativar o recurso GDPR Field até que um patch esteja disponível para prevenir a exploração da vulnerabilidade de injeção de SQL. Restrinja o acesso ao parâmetro `fieldfor` para minimizar o risco de execução de comandos SQL arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.