Erik Steltzner

**Nome do software vulnerável e versões afetadas** Versões do PHP Event Calendar anteriores a 03/09/2021 **Descrição** A vulnerabilidade permite injeção de SQL, conforme demonstrado pelo endpoint “/server/ajax/user manager.php”, especificamente pelo parâmetro `username`. Isso pode ser usado para executar instruções SQL diretamente no banco de dados, permitindo potencialmente que um invasor comprometa o sistema de banco de dados ou contorne o formulário de login. **Recomendações** Para versões anteriores a 03/09/2021, atualize para uma versão lançada após 03/09/2021 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/server/ajax/user manager.php” ou sanitizar o parâmetro `username` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** PHP Event Calendar até 04/11/2021 **Descrição** A vulnerabilidade permite a execução persistente de scripts entre sites (XSS) e pode ser explorada por um invasor de várias maneiras, como realizar ações na página no contexto de outros usuários ou desfigurar o site. Isso é demonstrado pelo endpoint da API `/server/ajax/events manager.php`, especificamente pelo parâmetro `title`. **Recomendações** Para o Calendário de Eventos PHP até 04/11/2021, considere desativar o endpoint da API `/server/ajax/events manager.php` ou restringir o acesso ao parâmetro `title` até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `title` no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Infosysta In-App & Desktop Notifications app version 1.6.13 J8 for Jira **Description** An issue in the Infosysta In-App & Desktop Notifications app allows unauthorized access to a different user's notifications. This can be achieved by modifying the `username` variable in the "plugins/servlet/nfj/PushNotification" endpoint. As a result, the targeted user's notifications are no longer displayed to them. **Recommendations** For version 1.6.13 J8, consider restricting access to the "plugins/servlet/nfj/PushNotification" endpoint until a patch is available, and avoid using the `username` variable in this endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Infosysta In-App & Desktop Notifications app version 1.6.13 J8 for Jira **Description** An issue in the Infosysta In-App & Desktop Notifications app allows obtaining a list of all valid Jira usernames without authentication or authorization. This can be achieved via the "plugins/servlet/nfj/UserFilter?searchQuery=@" URI, specifically the `searchQuery` variable. **Recommendations** For version 1.6.13 J8, consider restricting access to the plugins/servlet/nfj/UserFilter API endpoint until a patch is available. Avoid using the `searchQuery` variable in this endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.