Asier Barranco

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e apagasse todas as informações no banco de dados enviando uma consulta SQL especialmente criada para o endpoint da API: https://XXXXXXX.saludydesafio.com/conexiones/ax/openTracExt/, utilizando o parâmetro `categoria`. **Recomendações** Para a versão 4.0.1 do SportsNET, considere desativar o acesso ao parâmetro `categoria` no endpoint da API afetado até que uma correção esteja disponível. Restrinja o acesso ao banco de dados para minimizar o risco de exploração. Evite usar o parâmetro `categoria` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e apagasse todas as informações do banco de dados enviando uma consulta SQL especialmente criada para o endpoint da API “/ax/registerSp/”, utilizando o parâmetro `idDesafio`. Isso representa sérios riscos à segurança cibernética, pois os invasores podem explorar essas falhas para manipular os dados do banco de dados. **Recomendações** Para o SportsNET versão 4.0.1, considere desativar o parâmetro `idDesafio` no endpoint da API “/ax/registerSp/” como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar o parâmetro `idDesafio` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e excluísse todas as informações no banco de dados enviando uma consulta SQL especialmente criada para o endpoint: https://XXXXXXX.saludydesafio.com/app/ax/sort bloques/, utilizando a `lista de parâmetros`. Essa vulnerabilidade permite que invasores acessem, modifiquem ou excluam informações do banco de dados por meio de consultas SQL manipuladas. **Recomendações** Para a versão 4.0.1 do SportsNET, como solução temporária, considere restringir o acesso ao endpoint vulnerável até que um patch esteja disponível. Evite usar a `lista de parâmetros` vulnerável no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e apagasse todas as informações do banco de dados enviando uma consulta SQL especialmente criada para o endpoint “/app/ax/setAsRead/”, utilizando o parâmetro `id`. **Recomendações** Para o SportsNET versão 4.0.1, como solução temporária, considere restringir o acesso ao endpoint “/app/ax/setAsRead/” até que uma correção esteja disponível. Além disso, evite usar o parâmetro `id` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e apagasse todas as informações do banco de dados enviando uma consulta SQL especialmente criada para o endpoint “/app/ax/sendParticipationRemember/”, utilizando o parâmetro `send`. **Recomendações** Para o SportsNET versão 4.0.1, como solução temporária, considere restringir o acesso ao endpoint “/app/ax/sendParticipationRemember/” até que uma correção esteja disponível. Além disso, evite usar o parâmetro `send` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e apagasse todas as informações no banco de dados enviando uma consulta SQL especialmente criada. O endpoint da API vulnerável é “https://XXXXXXX.saludydesafio.com/app/ax/inscribeUsuario/”, e o parâmetro `idDesafio` está envolvido. **Recomendações** Para a versão 4.0.1, considere desativar o acesso ao endpoint da API vulnerável “https://XXXXXXX.saludydesafio.com/app/ax/inscribeUsuario/” até que um patch esteja disponível. Além disso, restrinja o uso do parâmetro `idDesafio` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e apagasse todas as informações no banco de dados enviando uma consulta SQL especialmente criada. O parâmetro vulnerável é `url` no endpoint da API “https://XXXXXXX.saludydesafio.com/app/ax/generateShortURL/”. **Recomendações** Para o SportsNET versão 4.0.1, considere desativar a funcionalidade de consulta SQL ou restringir o acesso ao endpoint da API vulnerável até que uma correção esteja disponível. Evite usar o parâmetro `url` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e apagasse todas as informações no banco de dados enviando uma consulta SQL especialmente criada para o endpoint `/app/ax/consejoRandom/`, utilizando o parâmetro `idCat`. Essa vulnerabilidade permite que invasores manipulem consultas e acessem, alterem ou apaguem informações do banco de dados. **Recomendações** Para a versão 4.0.1 do SportsNET, considere desativar o parâmetro `idCat` no endpoint `/app/ax/consejoRandom/` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar o parâmetro `idCat` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SportsNET versão 4.0.1 **Descrição** O problema diz respeito a vulnerabilidades de injeção de SQL que poderiam permitir que um invasor recuperasse, atualizasse e apagasse todas as informações no banco de dados enviando uma consulta SQL especialmente criada. O endpoint da API vulnerável é “https://XXXXXXX.saludydesafio.com/app/ax/checkBlindFields/”, com os parâmetros vulneráveis `idChallenge` e `idEmpresa`. **Recomendações** Para a versão 4.0.1 do SportsNET, considere desativar o acesso ao endpoint `/app/ax/checkBlindFields/` até que um patch esteja disponível. Além disso, restrinja o uso dos parâmetros `idChallenge` e `idEmpresa` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do ATISolutions CIGES anteriores à 2.15.5 Descrição: O problema é uma vulnerabilidade de injeção de SQL que permite que um invasor remoto envie uma consulta SQL especialmente criada para o endpoint “/modules/ajaxServiciosCentro.php” no parâmetro `idCentro` e recupere todas as informações armazenadas no banco de dados. Recomendações: Para versões anteriores à 2.15.5, atualize para a versão 2.15.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/modules/ajaxServiciosCentro.php” ou validar e sanitizar o parâmetro `idCentro` para impedir consultas SQL maliciosas.