Brian Lowe

**Nome do software vulnerável e versões afetadas** Gibbon versão 22 **Descrição** Existe uma vulnerabilidade de XSS refletido em várias páginas do aplicativo Gibbon, permitindo a execução arbitrária de JavaScript. Isso é possível através da manipulação de parâmetros como `gibbonCourseClassID`, `gibbonPersonID`, `subpage`, `currentDate` ou `allStudents` na página `index.php`. **Recomendações** Para a versão 22, considere desativar a execução de JavaScript nas páginas afetadas como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à página `index.php` para minimizar o risco de exploração. Evite usar os parâmetros `gibbonCourseClassID`, `gibbonPersonID`, `subpage`, `currentDate` ou `allStudents` no endpoint da API afetado até que a vulnerabilidade seja resolvida.

**Nome do software vulnerável e versões afetadas** openSIS versão 8.0 **Descrição** Existe uma vulnerabilidade de injeção de SQL devido à proteção inadequada da estrutura da consulta SQL. Isso permite que um invasor remoto execute comandos SQL arbitrários utilizando o parâmetro `USERNAME` no endpoint “index.php”. A vulnerabilidade pode estar relacionada a uma correção incompleta de um problema anterior. **Recomendações** Para o openSIS versão 8.0, considere restringir o acesso ao parâmetro `USERNAME` no endpoint “index.php” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.