Enferas

**Nome do software vulnerável e versões afetadas** sourcecodester oretnom23, sistema de gestão da folha de pagamento de funcionários, versão 1.0 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores executem código arbitrário por meio das entradas `code`, `title`, `from date` e `to date` no arquivo Main.php. Isso pode levar à execução de scripts maliciosos. **Recomendações** Para o sistema de gestão de folha de pagamento de funcionários sourcecodester oretnom23 versão 1.0, considere validar e sanitizar as entradas `code`, `title`, `from date` e `to date` no arquivo Main.php para impedir a execução de código arbitrário. Como solução temporária, restrinja o acesso ao arquivo Main.php até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** sourcecodester oretnom23 Blog Site versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) no arquivo main.php. Essa vulnerabilidade pode ser explorada por meio dos parâmetros `name` e `email` da função `user add`. **Recomendações** Para o Blog Site sourcecodester oretnom23 versão 1.0, considere validar e sanitizar os parâmetros `name` e `email` para prevenir ataques XSS. Como solução temporária, restrinja o uso da função `user add` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** sourcecodester oretnom23 sistema de ponto de venda (POS) versão 1.0 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio dos campos de entrada `code`, `name` e `description` no arquivo Main.php. Trata-se de uma vulnerabilidade de Cross Site Scripting (XSS). **Recomendações** Para o sourcecodester oretnom23 pos point sale system versão 1.0, considere validar e sanitizar as entradas `code`, `name` e `description` no arquivo Main.php para impedir a execução de código arbitrário. Como solução temporária, restrinja o acesso ao arquivo Main.php até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Cacti version 1.2.21 **Description** The issue is related to a Cross Site Scripting (XSS) vulnerability. It can be exploited via a crafted POST request to the "graphs new.php" endpoint. This vulnerability may allow a remote attacker to perform inter-site script attacks. **Recommendations** For Cacti version 1.2.21, consider disabling access to the "graphs new.php" endpoint until a patch is available. Restricting the use of this endpoint can help minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Mapos version 4.39.0 **Description** Multiple Cross Site Scripting (XSS) vulnerabilities in Mapos allow attackers to execute arbitrary code. The affected parameters include: `pesquisa`, `data`, `data2`, `nome`, `descricao`, `idDocumentos`, `id`, `senha`, `nomeCliente`, `contato`, `documento`, `telefone`, `celular`, `email`, `rua`, `numero`, `complemento`, `bairro`, `cidade`, `estado`, `cep`, `idClientes`, `id`, `tipo`, `forma pagamento`, `gateway de pagamento`, `excluir id`, `confirma id`, `cancela id`, `vencimento de`, `vencimento ate`, `cliente`, `tipo`, `status`, `valor desconto`, `desconto`, `periodo`, `per page`, `urlAtual`, `vencimento`, `recebimento`, `valor`, `recebido`, `formaPgto`, `desconto parc`, `entrada`, `qtdparcelas parc`, `valor parc`, `dia pgto`, `dia base pgto`, `comissao`, `descricao parc`, `cliente parc`, `observacoes parc`, `formaPgto parc`, `tipo parc`, `pagamento`, `pago`, `valor desconto editar`, `descricao`, `fornecedor`, `observacoes`, `id`, `refGarantia`, `textoGarantia`, `idGarantias`, `email`, and `senha` in various files such as application/controllers/Arquivos.php, application/controllers/Clientes.php, application/controllers/Cobrancas.php, application/controllers/Financeiro.php, application/controllers/Garantias.php, and application/controllers/Login.php. **Recommendations** As a temporary workaround, consider disabling the affected parameters until a patch is available. Restrict access to the vulnerable files to minimize the risk of exploitation. Avoid using the affected parameters in the respective API endpoints until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Mapos version 4.39.0 **Description** Multiple Cross Site Scripting (XSS) vulnerabilities in Mapos allow attackers to execute arbitrary code. The issue affects various parameters, including `nome`, `aCliente`, `eCliente`, `dCliente`, `vCliente`, `aProduto`, `eProduto`, `dProduto`, `vProduto`, `aServico`, `eServico`, `dServico`, `vServico`, `aOs`, `eOs`, `dOs`, `vOs`, `aVenda`, `eVenda`, `dVenda`, `vVenda`, `aGarantia`, `eGarantia`, `dGarantia`, `vGarantia`, `aArquivo`, `eArquivo`, `dArquivo`, `vArquivo`, `aPagamento`, `ePagamento`, `dPagamento`, `vPagamento`, `aLancamento`, `eLancamento`, `dLancamento`, `vLancamento`, `cUsuario`, `cEmitente`, `cPermissao`, `cBackup`, `cAuditoria`, `cEmail`, `cSistema`, `rCliente`, `rProduto`, `rServico`, `rOs`, `rVenda`, `rFinanceiro`, `aCobranca`, `eCobranca`, `dCobranca`, `vCobranca`, `situacao`, `idPermissao`, `id`, `precoCompra`, `precoVenda`, `descricao`, `unidade`, `estoque`, `estoqueMinimo`, `idProdutos`, `id`, and `estoqueAtual` in files `application/controllers/Permissoes.php` and `application/controllers/Produtos.php`. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Mapos version 4.39.0 **Description** Multiple Cross Site Scripting (XSS) vulnerabilities in Mapos allow attackers to execute arbitrary code. The affected parameters include: `dataInicial`, `dataFinal`, `tipocliente`, `format`, `precoInicial`, `precoFinal`, `estoqueInicial`, `estoqueFinal`, `de id`, `ate id`, `clientes id`, `origem`, `cliente`, `responsavel`, `status`, `tipo`, `situacao` in file application/controllers/Relatorios.php, `preco`, `nome`, `descricao`, `idServicos`, `id` in file application/controllers/Servicos.php, `senha`, `permissoes id`, `idUsuarios`, `situacao`, `nome`, `rg`, `cpf`, `cep`, `rua`, `numero`, `bairro`, `cidade`, `estado`, `email`, `telefone`, `celular` in file application/controllers/Usuarios.php, `dataVenda`, `observacoes`, `observacoes cliente`, `clientes id`, `usuarios id`, `idVendas`, `id`, `idVendasProduto`, `preco`, `quantidade`, `idProduto`, `produto`, `desconto`, `tipoDesconto`, `resultado`, `vendas id`, `vencimento`, `recebimento`, `valor`, `recebido`, `formaPgto`, `tipo` in file application/controllers/Vendas.php, `situacao`, `periodo`, `vencimento de`, `vencimento ate`, `tipo`, `status`, `cliente` in file application/views/financeiro/lancamentos.php, `year` in file application/views/mapos/painel.php, `pesquisa` in file application/views/os/os.php, `etiquetaCode` in file application/views/relatorios/imprimir/imprimirEtiquetas.php. **Recommendations** As a temporary workaround, consider disabling the affected parameters until a patch is available. Restrict access to the vulnerable files to minimize the risk of exploitation. Avoid using the affected parameters in the respective files until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Mapos version 4.39.0 **Description** Multiple Cross Site Scripting (XSS) vulnerabilities in Mapos allow attackers to execute arbitrary code. The affected parameters include: `year`, `oldSenha`, `novaSenha`, `termo`, `nome`, `cnpj`, `ie`, `cep`, `logradouro`, `numero`, `bairro`, `cidade`, `uf`, `telefone`, `email`, `id`, `app name`, `per page`, `app theme`, `os notification`, `email automatico`, `control estoque`, `notifica whats`, `control baixa`, `control editos`, `control edit vendas`, `control datatable`, `pix key`, `os status list`, `control 2vias`, `status`, `start`, `end` in file application/controllers/Mapos.php, as well as `token`, `senha`, `email`, `nomeCliente`, `documento`, `telefone`, `celular`, `rua`, `numero`, `complemento`, `bairro`, `cidade`, `estado`, `cep`, `idClientes`, `descricaoProduto`, `defeito` in file application/controllers/Mine.php, and `pesquisa`, `status`, `data`, `data2`, `dataInicial`, `dataFinal`, `termoGarantia`, `garantias id`, `clientes id`, `usuarios id`, `idOs`, `garantia`, `descricaoProduto`, `defeito`, `observacoes`, `laudoTecnico`, `id`, `preco`, `quantidade`, `idProduto`, `idOsProduto`, `produto`, `idServico`, `idOsServico`, `desconto`, `tipoDesconto`, `resultado`, `vencimento`, `recebimento`, `os id`, `valor`, `recebido`, `formaPgto`, `tipo`, `anotacao`, `idAnotacao` in file application/controllers/Os.php. **Recommendations** As a temporary workaround, consider disabling the affected parameters until a patch is available. Restrict access to the vulnerable files application/controllers/Mapos.php, application/controllers/Mine.php, and application/controllers/Os.php to minimize the risk of exploitation. Avoid using the affected parameters in the respective API endpoints until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** InvoicePlane version 1.6 **Description** The issue is a Cross Site Scripting (XSS) vulnerability. It occurs via the `filter product` input to the file `modal product lookups.php`. This allows for potential malicious script execution. **Recommendations** For InvoicePlane version 1.6, as a temporary workaround, consider restricting access to the `modal product lookups.php` file until a patch is available. Avoid using the `filter product` input in the affected file to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** sourcecodester oretnom23 sales management system version 1.0 **Description** The issue allows attackers to execute arbitrary code via the `product name` and `product price` inputs in the file print.php, specifically through a cross-site scripting (XSS) vulnerability. **Recommendations** For sourcecodester oretnom23 sales management system version 1.0, consider disabling the `product name` and `product price` inputs in the print.php file until a patch is available. Restrict access to the print.php file to minimize the risk of exploitation. Avoid using the `product name` and `product price` inputs in the affected file until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** craigrodway classroombookings version 2.6.4 **Description** The issue is related to a Cross Site Scripting (XSS) vulnerability, which allows attackers to execute arbitrary code or cause other unspecified impacts. This is achieved via the input `bgcol` in the file Weeks.php. **Recommendations** For version 2.6.4, consider restricting access to the `bgcol` input in the Weeks.php file until a patch is available. As a temporary workaround, avoid using the `bgcol` input to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Book Store Management System version 1.0 **Description** A cross-site scripting (XSS) issue was found in the /bsms ci/index.php/book endpoint, allowing attackers to execute arbitrary web scripts or HTML by injecting a crafted payload into the `writer` parameter. **Recommendations** For Book Store Management System version 1.0, as a temporary workaround, consider restricting access to the /bsms ci/index.php/book endpoint or avoiding the use of the `writer` parameter until a fix is available. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** InventorySystem (affected versions not specified) **Description** The issue is related to a Cross Site Scripting (XSS) vulnerability. It affects the InventorySystem via the `edit store name` and `edit active` inputs in the file InventorySystem.php. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** phoronix-test-suite (affected versions not specified) **Description** A XSS vulnerability was found in the `phoromatic r add test details.php` file. This issue allows for cross-site scripting attacks. No information is provided about the estimated number of potentially affected devices or real-world incidents where this issue was exploited. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** phpipam versão 1.5.0 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de cabeçalho. Ela afeta o componente “/admin/subnets/ripe-query.php”. **Recomendações** Para a versão 1.5.0 do phpipam, considere restringir o acesso ao componente “/admin/subnets/ripe-query.php” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** pfSense versão 2.5.2 **Descrição** A vulnerabilidade permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada em um nome de arquivo, devido a uma vulnerabilidade de cross-site scripting (XSS) no componente browser.php. **Recomendações** Para a versão 2.5.2 do pfSense, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ICEcoder versão 8.1 **Descrição** A vulnerabilidade permite que invasores realizem um ataque de traversal de diretório. **Recomendações** Para o ICEcoder versão 8.1, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** RPi-Jukebox-RFID versão 2.3.0 **Descrição** Foi detectada uma vulnerabilidade de injeção de comando no componente /htdocs/utils/Files.php. Essa vulnerabilidade é explorada por meio de uma carga maliciosa injetada no nome de um arquivo enviado. **Recomendações** Para o RPi-Jukebox-RFID versão 2.3.0, considere restringir o acesso ao componente /htdocs/utils/Files.php até que uma correção esteja disponível. Como solução temporária, evite usar o recurso de upload de arquivos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** LibreNMS versão 22.6.0 **Descrição** O problema é uma vulnerabilidade de script entre sites (XSS). Ela foi identificada no componente print-customoid.php. **Recomendações** Para o LibreNMS versão 22.6.0, atualize para uma versão que corrija a vulnerabilidade XSS no componente print-customoid.php. Como solução temporária, considere restringir o acesso ao componente print-customoid.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** LibreNMS versão 22.6.0 **Descrição** Foi detectada uma vulnerabilidade de script entre sites (XSS) no LibreNMS por meio do componente oxidized-cfg-check.inc.php. Isso permite a possível execução de scripts maliciosos. **Recomendações** Para a versão 22.6.0 do LibreNMS, como solução temporária, considere restringir o acesso ao componente oxidized-cfg-check.inc.php até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.