Astra.R3Verii

**Name of the Vulnerable Software and Affected Versions** WC Affiliate versions n/a through 2.9.1 **Description** The issue is related to Deserialization of Untrusted Data, which allows Object Injection. This is a problem where an application deserializes data from an untrusted source, potentially leading to the execution of malicious code. **Recommendations** For versions n/a through 2.9.1, update to a version later than 2.9.1 to resolve the issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** LETSCMS MLM Software Binary MLM Plan versions n/a through 3.0 **Description** The issue is related to an SQL Injection vulnerability due to improper neutralization of special elements used in an SQL command. This allows for SQL Injection attacks. **Recommendations** For versions n/a through 3.0, update to a version that fixes the SQL Injection issue to prevent exploitation. As a temporary workaround, consider restricting access to sensitive database operations until a patch is available. Avoid using user-supplied input in SQL commands without proper sanitization until the issue is resolved.

**Nome do Software Vulnerável e Versões Afetadas** STAGGS versões n/a até 2.11.0 **Descrição** A falha permite o upload irrestrito de arquivos com tipos perigosos, possibilitando o upload de um web shell para um servidor web. Isso pode levar a possíveis violações de segurança. **Recomendações** Para as versões n/a até 2.11.0, considere restringir o upload de arquivos para permitir apenas tipos de arquivos seguros e implementar validação e sanitização adequadas dos arquivos enviados para prevenir o upload de conteúdo malicioso, como web shells. Como medida temporária, considere desativar a funcionalidade de upload de arquivos até que uma correção adequada seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** 6Storage Rentals versões n/a até 2.19.4 **Descrição** O problema está relacionado a uma vulnerabilidade de Falta de Autorização no 6Storage Rentals, que permite Path Traversal. **Recomendações** Para as versões n/a até 2.19.4, atualize para uma versão que inclua as verificações de autorização necessárias para prevenir ataques de Path Traversal. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Nomupay Payment Processing Gateway versões n/a até 7.1.7 **Descrição** O problema está relacionado a uma Limitação Imprópria de um Nome de Caminho para um Diretório Restrito, também conhecido como 'Path Traversal'. Isso permite acesso não autorizado a arquivos e diretórios fora do diretório restrito pretendido. **Recomendações** Para o Nomupay Payment Processing Gateway versões n/a até 7.1.7, atualize para uma versão posterior à 7.1.7 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Tainacan 0.21.14 e anteriores **Descrição** O problema está relacionado a uma Limitação Imprópria de um Caminho de Arquivo para um Diretório Restrito, também conhecido como 'Path Traversal'. Isso permite acesso não autorizado a arquivos e diretórios fora do diretório restrito pretendido. **Recomendações** Para as versões 0.21.14 e anteriores, atualize para uma versão que inclua uma correção para este problema, pois não há nenhuma solução alternativa específica fornecida para estas versões. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** dastan800 Visual Builder versões 1.2.2 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Ausência de Autorização que permite XSS Refletido no dastan800 Visual Builder. **Recomendações** Para as versões 1.2.2 e anteriores, atualize para uma versão que inclua uma correção para este problema, pois não são fornecidas medidas de mitigação específicas.

**Nome do Software Vulnerável e Versões Afetadas** Crossword Compiler Puzzles versões 5.2 e anteriores **Descrição** A falha permite o upload irrestrito de arquivos de tipos perigosos, possibilitando que um invasor envie uma web shell para um servidor web. Isso pode levar a uma exploração adicional e ao potencial controle do servidor. **Recomendações** Para as versões 5.2 e anteriores, considere restringir ou desativar a funcionalidade de upload de arquivos até que uma correção esteja disponível. Como medida temporária, implemente validação e sanitização rigorosas dos arquivos enviados para prevenir a execução de código malicioso.

**Nome do Software Vulnerável e Versões Afetadas** Infocob CRM Forms versões n/a até 2.4.0 **Descrição** O problema está relacionado a uma Limitação Imprópria de um Nome de Caminho para um Diretório Restrito, também conhecida como 'Path Traversal'. Isso permite a realização de Path Traversal no Infocob CRM Forms. **Recomendações** Para as versões n/a até 2.4.0, atualize para uma versão que contenha uma correção para este problema, pois a versão atual permite Path Traversal devido à limitação imprópria de nomes de caminho. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Facturante versões n/a até 1.11 **Descrição** O problema está relacionado a uma vulnerabilidade de Injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso possibilita ataques de Injeção de SQL. **Recomendações** Para as versões n/a até 1.11, atualize para uma versão que inclua uma correção para este problema de Injeção de SQL, pois o uso de elementos especiais em comandos SQL sem a devida neutralização representa um risco significativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: davidfcarr RSVPMarker versions n/a through 11.5.6 Description: The issue is related to an SQL Injection vulnerability due to improper neutralization of special elements used in an SQL command. This allows for SQL Injection attacks, potentially leading to system breaches. Recommendations: For versions n/a through 11.5.6, update to a version later than 11.5.6 to resolve the SQL Injection issue. As a temporary workaround, consider restricting access to SQL commands to minimize the risk of exploitation.

Nome do Software Vulnerável e Versões Afetadas: Versões do EventON até a 2.4.4 Descrição: O problema está relacionado a uma vulnerabilidade de Falta de Autorização, que permite acessar funcionalidades não devidamente restritas por ACLs. Recomendações: Para versões até a 2.4.4, atualize para uma versão superior à 2.4.4 para resolver o problema.

Nome do Software Vulnerável e Versões Afetadas: berthaai BERTHA AI versões 1.12.11 e anteriores Descrição: O problema está relacionado a uma vulnerabilidade de Falta de Autorização, que permite a exploração de níveis de segurança de controle de acesso configurados incorretamente. Recomendações: Para as versões 1.12.11 e anteriores, atualize para uma versão que contenha uma correção para este problema. Como solução temporária, considere restringir o acesso às áreas sensíveis da aplicação para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: Eventin versions n/a through 4.0.26 Description: The issue affects Themewinter Eventin, allowing Relative Path Traversal. This enables Path Traversal, which can be exploited. Recommendations: For versions n/a through 4.0.26, update to a version later than 4.0.26 to resolve the issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** SMS Alert Order Notifications – WooCommerce versões 3.8.2 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso possibilita a Injeção de SQL, que pode ser explorada por atacantes. O número estimado de dispositivos potencialmente afetados em todo o mundo não é fornecido. Não há informações sobre incidentes reais em que esse problema foi explorado. **Recomendações** Para as versões 3.8.2 e anteriores, atualize para uma versão posterior à 3.8.2 para resolver o problema. Como solução temporária, considere restringir o acesso a consultas sensíveis do banco de dados para minimizar o risco de exploração. Evite usar entrada fornecida pelo usuário em comandos SQL até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Credova Financial versões n/a até 2.5.0 **Descrição** O problema é uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF), que permite a Falsificação de Solicitação Entre Sites. **Recomendações** Para as versões n/a até 2.5.0, atualize para uma versão que inclua uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** codepeople Appointment Booking Calendar versions 1.3.92 and earlier **Description** The issue is related to a Cross-Site Request Forgery (CSRF) vulnerability that also allows SQL Injection in the codepeople Appointment Booking Calendar. **Recommendations** For versions 1.3.92 and earlier, update to a version that contains a fix for this issue. As a temporary workaround, consider restricting access to sensitive `username` and `password` variables in the affected API endpoints until a patch is available. Restrict access to the vulnerable module to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** Watu Quiz versões 3.4.3 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de Injeção de SQL devido à neutralização inadequada de elementos especiais utilizados em um comando SQL. Isso permite ataques de Injeção de SQL. **Recomendações** Para as versões 3.4.3 e anteriores, atualize para uma versão que contenha uma correção para este problema. Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Bastien Ho Event post versões n/a até 5.9.11 **Descrição** O problema está relacionado à Neutralização Imprópria de Entrada Durante a Geração de Página Web, também conhecida como Cross-site Scripting, permitindo XSS Baseado em DOM no Event post. **Recomendações** Para versões n/a até 5.9.11, atualize para uma versão posterior a 5.9.11 para resolver o problema. Como uma solução alternativa temporária, considere restringir a entrada do usuário no Event post para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Vitepos versions 3.1.7 and earlier **Description** The issue is related to an Authentication Bypass Using an Alternate Path or Channel, allowing Authentication Abuse. **Recommendations** For versions 3.1.7 and earlier, update to a version later than 3.1.7 to resolve the issue.