Callum Murphy

**Nome do software vulnerável e versões afetadas** Chop Slider 3 (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de injeção SQL cega, permitindo que um invasor execute consultas SQL arbitrárias no contexto do usuário do banco de dados do WordPress. A vulnerabilidade é introduzida por meio do parâmetro GET `id` fornecido ao endpoint “get script/index.php”. **Recomendações** Como solução temporária, considere restringir o acesso ao endpoint “get script/index.php” até que uma correção esteja disponível. Evite usar o parâmetro `id` no endpoint afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Tribal SITS:Vision versão 9.7.0 **Descrição** Existe uma falha de contorno de autenticação no componente autônomo SITS:Vision do Tribal SITS em sua configuração padrão. Isso está relacionado às comunicações não criptografadas enviadas pelo cliente a cada vez que ele é iniciado, o que ocorre porque o Uniface TLS Driver não está habilitado por padrão. Isso permite que invasores obtenham acesso a credenciais ou executem consultas SQL arbitrárias no backend do SITS, desde que tenham acesso ao executável do cliente ou possam interceptar o tráfego de um usuário que o tenha. **Recomendações** Como solução temporária, considere habilitar o Uniface TLS Driver para criptografar as comunicações e minimizar o risco de exploração. Restrinja o acesso ao backend do SITS para minimizar o risco de execução de consultas SQL arbitrárias. Evite usar o executável do cliente em redes não seguras até que o problema seja resolvido.