Duong Xuan Hiep

**Nome do software vulnerável e versões afetadas** Naviwebs Navigate CMS versão 2.9 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross Site Scripting (XSS). Ela afeta vários arquivos PHP dentro do Naviwebs Navigate Cms, incluindo backupsbackups.php, blocksblocks.php, brandsbrands.php, commentscomments.php, couponscoupons.php, feedsfeeds.php, functionsfunctions.php, itemsitems.php, menusmenus.php, ordersorders.php, payment methodspayment methods.php, productsproducts.php, profilesprofiles.php, shipping methodsshipping methods.php, templatestemplates.php, usersusers.php, webdictionarywebdictionary.php, websiteswebsites.php e webuserswebusers.php. A vulnerabilidade é explorada por meio do parâmetro `navigate-quickse`. A função `initial url`, incorporada a esses arquivos, está envolvida na vulnerabilidade. **Recomendações** Para o Naviwebs Navigate Cms versão 2.9, considere desativar a função `initial url` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso aos arquivos PHP afetados para minimizar o risco de exploração. Evite usar o parâmetro `navigate-quickse` nos pontos de extremidade da API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Naviwebs Navigate CMS versão 2.9 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio do parâmetro `quicksearch` no arquivo `libpackagescommentscomments.php`. **Recomendações** Para o Naviwebs Navigate CMS versão 2.9, considere restringir o acesso ao arquivo `libpackagescommentscomments.php` ou ao parâmetro `quicksearch` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.