Ahmed8199

Nome do Software Vulnerável e Versões Afetadas: PMWeb versão 7.2.0 Descrição: Foi detectado um problema no componente Setting Handler, resultando em requisitos de senha fracos. O ataque pode ser iniciado remotamente e possui alta complexidade, o que torna a exploração difícil. O exploit foi divulgado publicamente e pode ser utilizado. Recomenda-se alterar as configurações para mitigar o problema. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. Recomendações: Para resolver o problema na versão 7.2.0 do PMWeb, altere as configurações para impor requisitos de senha mais fortes. Como solução temporária, considere restringir o acesso ao componente Setting Handler até que uma solução mais permanente esteja disponível.

**Nome do software vulnerável e versões afetadas** PMWeb versão 7.2.00 **Descrição** Foi identificada uma vulnerabilidade no componente Web Application Firewall, que pode ser explorada para provocar um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A exploração já foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para a versão 7.2.00 do PMWeb, como solução temporária, considere desativar o componente Web Application Firewall até que um patch esteja disponível. Restrinja o acesso ao aplicativo web para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Smart Office até 20240405 **Descrição** Foi encontrada uma vulnerabilidade no arquivo Main.aspx, na qual a manipulação do argumento `New Password/Confirm Password` com a entrada `1` resulta em requisitos de senha fracos. O ataque pode ser lançado remotamente, apresentando complexidade bastante elevada e dificuldade de exploração. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para versões até 20240405, considere restringir temporariamente o uso do argumento `New Password/Confirm Password` até que uma correção esteja disponível. Como medida de mitigação, certifique-se de que requisitos de senha forte sejam aplicados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal de empregos online SourceCodester, versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no SourceCodester Online Job Portal, afetando alguma funcionalidade desconhecida do arquivo /Employer/EditProfile.php. A manipulação do argumento `Address` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para a versão 1.0, considere desativar a funcionalidade relacionada ao arquivo /Employer/EditProfile.php até que um patch esteja disponível. Restrinja o acesso a este arquivo para minimizar o risco de exploração. Evite usar o argumento `Address` na funcionalidade afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SourceCodester Online Job Portal versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no componente “Manage Walkin Page”, especificamente no arquivo /Employer/ManageWalkin.php. O problema decorre da manipulação do argumento `Job Title`, levando a um ataque de cross-site scripting. Isso pode ser iniciado remotamente. **Recomendações** Para o SourceCodester Online Job Portal versão 1.0, considere restringir o acesso ao arquivo /Employer/ManageWalkin.php até que uma correção esteja disponível. Como solução temporária, evite usar o argumento `Job Title` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal de empregos online SourceCodester, versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no componente Manage Job Page, especificamente no arquivo /Employer/ManageJob.php. A manipulação do argumento `Qualification/Description` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para a versão 1.0, considere desativar o argumento `Qualification/Description` no arquivo /Employer/ManageJob.php até que um patch esteja disponível. Restrinja o acesso ao componente Manage Job Page para minimizar o risco de exploração. Evite usar o argumento `Qualification/Description` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SourceCodester Engineers Online Portal versão 1.0 **Descrição** Foi identificada uma vulnerabilidade no processamento do arquivo signup teacher.php, em que a manipulação do argumento `Password` resulta em requisitos de senha fracos. O ataque pode ser iniciado remotamente, apresentando uma complexidade relativamente alta e dificuldade de exploração. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para o SourceCodester Engineers Online Portal versão 1.0, considere implementar requisitos de senha mais rigorosos para mitigar o risco de exploração. Como solução temporária, restrinja o uso do argumento `Password` no arquivo signup teacher.php até que uma solução mais segura seja implementada.

**Nome do software vulnerável e versões afetadas** SourceCodester Engineers Online Portal versão 1.0 **Descrição** Foi identificada uma vulnerabilidade no componente File Upload Handler, que pode levar ao consumo excessivo de recursos. A exploração pode ser realizada remotamente. A vulnerabilidade já foi divulgada publicamente. **Recomendações** Para a versão 1.0, considere desativar o componente File Upload Handler até que uma correção esteja disponível, a fim de evitar possíveis ataques de consumo de recursos. Restrinja o acesso ao componente para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SourceCodester Engineers Online Portal versão 1.0 **Descrição** Foi identificada uma vulnerabilidade no software, afetando uma funcionalidade desconhecida. A manipulação resulta na geração de um cookie confidencial sem o atributo “secure”. O ataque pode ser lançado remotamente, apresentando complexidade relativamente alta e dificuldade de exploração. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para a versão 1.0, considere atualizar para uma versão mais recente que resolva o problema dos cookies sensíveis sem atributos de segurança; como solução temporária, restrinja o acesso a cookies sensíveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal online SourceCodester Engineers, versão 1.0 **Descrição** Foi detectada uma falha no software, afetando alguma funcionalidade desconhecida, que pode levar à expiração da sessão quando manipulada. A vulnerabilidade pode ser explorada remotamente, mas a complexidade de um ataque é bastante alta, dificultando a exploração. **Recomendações** Para o SourceCodester Engineers Online Portal versão 1.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal online SourceCodester Engineers, versão 1.0 **Descrição** Foi descoberta uma falha que afeta uma parte desconhecida do sistema. Essa falha leva à fixação de sessão e pode ser iniciada remotamente. A complexidade de um ataque é bastante alta, e a exploração é difícil. **Recomendações** Para o SourceCodester Engineers Online Portal versão 1.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa falha.

**Nome do software vulnerável e versões afetadas** Portal de empregos online versão 1.0 **Descrição** Foi encontrada uma falha no componente Create News Page, especificamente no arquivo /Admin/News.php. A manipulação do argumento `News` com entradas maliciosas, como `</title><scRipt>alert(0x00C57D)</scRipt>`, leva a um ataque de cross-site scripting. Essa falha pode ser explorada remotamente. **Recomendações** Para o Portal de Empregos Online versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /Admin/News.php e ao componente Create News Page para minimizar o risco de exploração. Evite usar o argumento `News` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SourceCodester Engineers Online Portal versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no componente de alteração de senha do SourceCodester Engineers Online Portal. O problema afeta uma função desconhecida do arquivo change password teacher.php e leva à expiração da sessão. É possível executar o ataque remotamente. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para a versão 1.0, considere restringir o acesso ao arquivo change password teacher.php até que uma correção esteja disponível. Como solução temporária, evite usar o componente Alteração de Senha para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Portal Online do Engenheiro da RRJ Nueva Ecija, versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no RRJ Nueva Ecija Engineer Online Portal, afetando algum processamento desconhecido do arquivo add quiz.php do componente Quiz Handler. A manipulação do argumento `Quiz Title/Quiz Description` com a entrada `</title><scRipt>alert(x)</scRipt>` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Como solução temporária, considere desativar o arquivo `add quiz.php` ou restringir o acesso ao componente Quiz Handler até que uma correção esteja disponível. Evite usar o argumento `Quiz Title/Quiz Description` no arquivo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal Online RRJ Nueva Ecija Engineer, versão 1.0 **Descrição** Foi identificada uma vulnerabilidade no Portal Online RRJ Nueva Ecija Engineer, afetando uma parte desconhecida do arquivo `change password teacher.php`. Esse problema resulta em requisitos de senha fracos. O ataque pode ser iniciado remotamente, apresentando uma complexidade bastante elevada e dificuldade de exploração. A exploração foi divulgada ao público. **Recomendações** Para o Portal Online RRJ Nueva Ecija Engineer versão 1.0, considere implementar requisitos de senha mais rigorosos para mitigar o risco de exploração. Como solução temporária, restrinja o acesso ao arquivo `change password teacher.php` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal Online do Engenheiro da RRJ Nueva Ecija, versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no RRJ Nueva Ecija Engineer Online Portal, afetando o arquivo teacher message.php do componente Create Message Handler. A manipulação do argumento `Content` com a entrada `</title><scRipt>alert(x)</scRipt>` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o Portal Online RRJ Nueva Ecija Engineer versão 1.0, como solução temporária, considere desativar o componente `Create Message Handler` até que um patch esteja disponível. Restrinja o acesso ao arquivo `teacher message.php` para minimizar o risco de exploração. Evite usar o argumento `Content` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal Online RRJ Nueva Ecija Engineer versão 1.0 **Descrição** Foi identificada uma vulnerabilidade no Portal Online RRJ Nueva Ecija Engineer, classificada como problemática. A falha afeta uma função desconhecida do arquivo /admin/uploads/. Essa manipulação leva à exposição de informações de arquivos e diretórios. É possível executar o ataque remotamente. **Recomendações** Para o RRJ Nueva Ecija Engineer Online Portal versão 1.0, considere restringir o acesso ao diretório /admin/uploads/ para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal Online RRJ Nueva Ecija Engineer, versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no Portal Online RRJ Nueva Ecija Engineer, afetando uma funcionalidade desconhecida do arquivo `downloadable.php` do componente `Add Downloadable`. Essa vulnerabilidade permite o envio irrestrito de arquivos e pode ser explorada remotamente. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para o RRJ Nueva Ecija Engineer Online Portal versão 1.0, considere desativar o arquivo downloadable.php ou restringir o acesso ao componente Add Downloadable até que uma correção esteja disponível. Como solução temporária, restrinja a funcionalidade de upload para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal Online RRJ Nueva Ecija Engineer, versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no RRJ Nueva Ecija Engineer Online Portal, afetando código desconhecido do arquivo /admin/edit teacher.php do componente Add Engineer. A manipulação do argumento `Firstname/Lastname` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Como solução temporária, considere desativar o componente `Add Enginer` até que uma correção esteja disponível. Restrinja o acesso ao arquivo `/admin/edit teacher.php` para minimizar o risco de exploração. Evite usar o argumento `Firstname/Lastname` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal Online RRJ Nueva Ecija Engineer, versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no RRJ Nueva Ecija Engineer Online Portal, afetando uma parte desconhecida do arquivo `/admin/students.php` do componente NIA Office. A manipulação leva a um cross-site scripting básico. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o Portal Online RRJ Nueva Ecija Engineer versão 1.0, como solução temporária, considere restringir o acesso ao arquivo `/admin/students.php` até que um patch esteja disponível. Evite usar este arquivo de forma que possa levar a um cross-site scripting até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.