Ayush Patidar

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Laboratório de Informática versão 1.0 **Descrição** Existe uma vulnerabilidade de Cross Site Scripting (XSS) que permite que um invasor remoto execute código arbitrário por meio dos parâmetros `Nome do usuário`, `Departamento` e `Observações`. **Recomendações** Para o Sistema de Gerenciamento de Laboratórios de Informática versão 1.0, considere restringir a entrada dos parâmetros `Nome do Usuário`, `Departamento` e `Observações` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Despesas Diárias, versão 1.0 **Descrição** O Sistema de Gestão de Despesas Diárias contém uma vulnerabilidade de injeção SQL cega baseada em tempo na página ‘add-expense.php’. Um invasor pode explorar o parâmetro `item` em uma solicitação POST para executar comandos SQL arbitrários no banco de dados do backend. Isso pode ser feito injetando consultas SQL especialmente criadas para fazer com que o banco de dados execute operações demoradas, confirmando assim a presença da vulnerabilidade de injeção SQL com base no atraso na resposta do servidor. **Recomendações** Como solução temporária, considere desativar o parâmetro `item` na página ‘add-expense.php’ até que um patch esteja disponível. Restrinja o acesso à página ‘add-expense.php’ para minimizar o risco de exploração. Evite usar o parâmetro `item` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.