Cw.Wong

**Name of the Vulnerable Software and Affected Versions** Tosei Online Store Management System version 1.01 **Description** A security flaw exists in the function system of the `/cgi-bin/monitor.php` file within the HTTP POST Request Handler component. Manipulation of the `DevId` argument results in operating system command injection. The attack can be initiated remotely. An exploit has been released and may be used for attacks. The vendor was contacted regarding this disclosure but did not respond. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Vaelsys version 4.1.0 **Description** A flaw exists in Vaelsys 4.1.0 related to the HTTP POST Request Handler component. Specifically, manipulation of the `xajaxargs` argument within a request to the file '/tree/tree server.php' can lead to operating system command injection. This issue is exploitable remotely. The exploit has been published. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: SourceCodester Online Bank Management System versão 1.0 Descrição: Uma vulnerabilidade foi identificada que permite injeção de SQL. O problema afeta uma função desconhecida dentro do arquivo `/bank/show.php`. A manipulação do argumento `ID` pode levar à exploração bem-sucedida. O ataque pode ser realizado remotamente e um exploit foi disponibilizado publicamente. Recomendações: SourceCodester Online Bank Management System versão 1.0: Como medida de contorno temporária, considere restringir o acesso ao arquivo `/bank/show.php` até que um patch esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: SourceCodester Online Bank Management System versão 1.0 Descrição: Uma vulnerabilidade de segurança foi detectada. O elemento afetado é uma função desconhecida do arquivo `/bank/mnotice.php`. A manipulação do argumento `ID` resulta em injeção de SQL. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Campcodes Online Recruitment Management System version 1.0 **Description** A vulnerability exists in Campcodes Online Recruitment Management System that may allow for remote manipulation. The issue is related to a SQL injection affecting an unknown functionality within the `/admin/ajax.php?action=delete recruitment status` endpoint. The `ID` parameter is susceptible to exploitation. The exploit has been publicly disclosed. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Campcodes Online Recruitment Management System versão 1.0 **Descrição** Existe uma vulnerabilidade crítica no Campcodes Online Recruitment Management System. A vulnerabilidade deve-se a uma injeção de SQL, decorrente da manipulação do argumento `ID` no endpoint da API `/admin/ajax.php?action=save user`. Isso permite exploração remota. O exploit foi divulgado publicamente. **Recomendações** Como solução temporária, restrinja o acesso ao endpoint da API `/admin/ajax.php?action=save user` até que uma correção esteja disponível. Sanitize o parâmetro `ID` antes de utilizá-lo em qualquer consulta ao banco de dados.