Aliaz

**Nome do Software Vulnerável e Versões Afetadas** osTicket versões anteriores a 1.18.4 **Description** Um problema de falsificação de solicitação cross-site (CSRF) existe no componente Dispatcher dentro do arquivo `include/class.dispatcher.php`. A falha permite a exploração remota por meio da manipulação do argumento ` method`. **Recommendations** Como medida paliativa temporária, restrinja o acesso ao argumento ` method` no arquivo `include/class.dispatcher.php` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** alexta69 MeTube versões anteriores a 2026.04.10 **Descrição** Existe uma política de cross-domain permissiva no componente CORS Policy, especificamente na função `on prepare()` do arquivo `app/main.py`. Isso permite que domínios não confiáveis ignorem as restrições de cross-domain, possibilitando a exploração remota. **Recomendações** Atualizar para a versão 2026.04.10.

**Nome do Software Vulnerável e Versões Afetadas** LinkStackOrg LinkStack versões anteriores a 4.8.7 **Descrição** Uma fraqueza na função `editPage()` dentro do arquivo `app/Http/Controllers/UserController.php` permite a execução remota de cross-site scripting (XSS), que ocorre quando um valor fornecido pelo usuário é incluído em uma página web sem a devida validação ou escape. Isso é desencadeado pela manipulação do argumento `pageDescription`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso à função `editPage()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** LinkStackOrg LinkStack versões anteriores a 4.8.7 **Descrição** Um bypass de autorização existe no componente Management Endpoint. Este problema ocorre na função `saveLink()` localizada no arquivo `app/Http/Controllers/UserController.php`, permitindo que um invasor remoto ignore os controles de autorização. **Recomendações** Como medida paliativa temporária, restrinja o acesso à função `saveLink()` até que uma correção esteja disponível.

Nome do software vulnerável e versões afetadas: code-projects Inventory Management versão 1.0 Descrição: Foi encontrada uma vulnerabilidade crítica no software code-projects Inventory Management. O problema afeta uma funcionalidade desconhecida do arquivo /model/viewProduct.php do componente Products Table Page. A manipulação do argumento `id` leva à injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. Recomendações: Para o code-projects Inventory Management versão 1.0, considere desativar o argumento `id` no arquivo /model/viewProduct.php até que um patch esteja disponível. Restrinja o acesso à página Products Table Page para minimizar o risco de exploração. Evite usar o argumento `id` na funcionalidade afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: code-projects Inventory Management versão 1.0 Descrição: Foi detectada uma falha no componente Formulário de Registro, especificamente no arquivo /view/registration.php. A falha permite a execução de scripts entre sites (cross-site scripting) quando um invasor manipula a entrada com código malicioso, como `<script>alert(1)</script>`. Isso pode ser iniciado remotamente. Recomendações: Para o code-projects Inventory Management versão 1.0, considere desativar o componente Formulário de Registro ou restringir o acesso ao arquivo /view/registration.php até que uma correção esteja disponível. Evite usar o Formulário de Registro com entradas não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.