Cptsticky

**Nome do software vulnerável e versões afetadas** LATRIX versão 0.6.0 **Descrição** Foi descoberta uma falha que permite a injeção de SQL no parâmetro `txtaccesscode` do arquivo “inandout.php”, resultando em divulgação de informações e execução de código. **Recomendações** Para a versão 0.6.0 do LATRIX, considere restringir o acesso ao endpoint “inandout.php” ou evitar o uso do parâmetro `txtaccesscode` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** CourseMS versão 2.1 **Descrição** A vulnerabilidade permite que um invasor com acesso à conta de administrador crie um cargo na área do site, especificamente por meio do parâmetro `name` em `admin/add jobs.php`, e insira uma carga de script entre sites (XSS). Essa carga será executada quando alguém visitar a página de registro. **Recomendações** Para o CourseMS versão 2.1, considere restringir o acesso ao endpoint `admin/add jobs.php` para impedir que invasores insiram cargas de XSS por meio do parâmetro `name` até que uma correção esteja disponível. Como solução alternativa temporária, monitore e valide todas as entradas para o parâmetro `name` no endpoint `admin/add jobs.php` para impedir a inserção de cargas de XSS.