Ethx0

**Name of the Vulnerable Software and Affected Versions** ProjectsAndPrograms School Management System versões anteriores a 6b6fae5426044f89c08d0dd101c7fa71f9042a59 **Description** Um problema existe no componente HTTP GET Parameter Handler dentro do arquivo 'buslocation.php'. Atacantes remotos podem realizar SQL injection, uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução, ao manipular o argumento `bus id`. **Recommendations** Atualize o ProjectsAndPrograms School Management System para uma versão posterior a 6b6fae5426044f89c08d0dd101c7fa71f9042a59. Como medida paliativa temporária, restrinja o acesso ao arquivo 'buslocation.php' ou evite usar o parâmetro `bus id` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Qibo CMS versão 1.0 **Description** Uma falha no módulo Internal Message Module permite a execução de cross site scripting (XSS) remotamente, uma técnica onde scripts maliciosos são injetados em sites confiáveis. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Qibo CMS versão 1.0 **Description** Um problema no arquivo '/index/image/headers' permite a ocorrência de server-side request forgery, uma falha onde um invasor pode induzir a aplicação do lado do servidor a fazer requisições para um local não pretendido. Isso pode ser realizado remotamente através da manipulação do argumento `starts`. **Recommendations** Como medida paliativa temporária, evite usar o argumento `starts` no endpoint '/index/image/headers' até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

A flaw has been found in Qihui jtbc5 CMS 5.0.3.6. Affected is an unknown function of the file /dev/code/common/diplomat/manage.php of the component Code Endpoint. This manipulation of the argument path causes path traversal. The attack is possible to be carried out remotely. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

Name of the Vulnerable Software and Affected Versions givanz Vvvebjs versões até 2.0.5 Description Uma fraqueza existe no givanz Vvvebjs até a versão 2.0.5 relacionada ao File Upload Endpoint, especificamente dentro do arquivo `upload.php`. A manipulação do argumento `uploadAllowExtensions` pode levar a cross site scripting. A exploração remota é possível. O exploit foi disponibilizado publicamente. Recommendations Aplique o patch 8cac22cff99b8bc701c408aa8e887fa702755336.