Aslam Anwar Mahimkar

**Nome do software vulnerável e versões afetadas** Krayin CRM versão 1.3.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross Site Scripting (XSS). Ela ocorre por meio do campo de nome da organização no endpoint “/admin/contacts/organizations/edit/2”. Isso permite a possível injeção de scripts maliciosos. **Recomendações** Para o Krayin CRM versão 1.3.0, como solução temporária, considere restringir o acesso ao endpoint “/admin/contacts/organizations/edit/2” até que uma correção esteja disponível. Além disso, evite usar o campo `nome da organização` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OnlineNewsSite versão 1.0 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio dos campos `Title` e `summary` no endpoint “/admin/post/edit/”. Isso permite que invasores executem qualquer código que desejarem. **Recomendações** Para o OnlineNewsSite versão 1.0, como solução temporária, considere desativar a funcionalidade de edição no endpoint “/admin/post/edit/” até que uma correção esteja disponível. Restrinja o acesso aos campos `Title` e `summary` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Sourcecodehero Event Management System versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL por meio do parâmetro `username` no endpoint “/event/admin/login.php”. Isso permite que invasores comprometam bancos de dados remotamente. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para o Sourcecodehero Event Management System versão 1.0, aplique a correção imediatamente e valide a sanitização de entradas para prevenir ataques de injeção de SQL. Como solução temporária, considere restringir o acesso ao endpoint “/event/admin/login.php” até que uma correção esteja disponível. Evite usar o parâmetro `username` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sourcecodehero Event Management System versão 1.0 **Descrição** A vulnerabilidade é do tipo Stored Cross-Site Scripting. Ela ocorre por meio dos parâmetros `Full Name`, `Address`, `Email` e `contact#` no endpoint da API “/clientdetails/admin/regester.php”. **Recomendações** Para o Sistema de Gerenciamento de Eventos Sourcecodehero versão 1.0, como solução temporária, considere restringir o acesso ao endpoint “/clientdetails/admin/regester.php” até que um patch esteja disponível. Evite usar os parâmetros `Full Name`, `Address`, `Email` e `contact#` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Aegon Life versão 1.0 **Descrição** Uma vulnerabilidade no upload de arquivos permite que invasores executem código arbitrário por meio do envio de um arquivo de imagem especialmente criado. Esse problema surge devido a uma validação inadequada de entradas, permitindo que invasores enviem arquivos maliciosos e, potencialmente, obtenham controle sobre o sistema alvo. **Recomendações** Para o Aegon Life versão 1.0, considere desativar o recurso de upload de imagens até que uma correção esteja disponível para impedir a exploração dessa vulnerabilidade. Restrinja o acesso a áreas sensíveis do sistema onde os arquivos enviados são processados para minimizar o risco de execução de código arbitrário.

**Nome do software vulnerável e versões afetadas** Aegon Life versão 1.0 **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no parâmetro `name` no arquivo “insertClient.php”. **Recomendações** Para o Aegon Life versão 1.0, considere desativar o acesso ao endpoint “insertClient.php” até que uma correção esteja disponível, ou restrinja o parâmetro `name` para impedir a injeção de cargas maliciosas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Aegon Life versão 1.0 **Descrição** O problema é uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio do parâmetro `client id` no endpoint “clientStatus.php”. **Recomendações** Para o Aegon Life versão 1.0, como solução temporária, considere restringir o acesso ao endpoint “clientStatus.php” até que um patch esteja disponível. Evite usar o parâmetro `client id` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.