François Jacquet

**Nome do software vulnerável e versões afetadas** Sistema de Informações do Aluno RosarioSIS, versões anteriores à 6.5.1 **Descrição** O problema diz respeito a uma vulnerabilidade de Cross-Site Scripting refletido. Isso permite que invasores remotos executem scripts web arbitrários por meio da incorporação de javascript ou tags HTML em uma solicitação GET. **Recomendações** Para versões anteriores à 6.5.1, atualize para a versão 6.5.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** RosarioSIS versão 6.7.2 **Descrição** O problema é causado pela validação inadequada das entradas fornecidas pelo usuário pelo script Preferences.php, permitindo ataques XSS. Um invasor remoto poderia explorar essa vulnerabilidade usando o parâmetro `tab` em uma URL maliciosa, como “/preferences.php?tab=”. **Recomendações** Para o RosarioSIS versão 6.7.2, atualize o script Preferences.php para validar adequadamente as entradas fornecidas pelo usuário e evitar ataques XSS. Como solução temporária, considere restringir o acesso ao script Preferences.php até que um patch esteja disponível. Evite usar o parâmetro `tab` em URLs criadas especificamente para esse fim até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** RosarioSIS versão 6.7.2 **Descrição** O problema é causado pela validação inadequada das entradas fornecidas pelo usuário pelo script Search.inc.php, permitindo ataques XSS. Um invasor remoto poderia explorar essa vulnerabilidade usando o parâmetro `advanced` em uma URL manipulada, como “/api/v1/search” ou pontos de extremidade semelhantes. **Recomendações** Para o RosarioSIS versão 6.7.2, atualize o script Search.inc.php para validar adequadamente as entradas fornecidas pelo usuário, especificamente o parâmetro `advanced`, a fim de prevenir ataques XSS. Como solução temporária, considere restringir o acesso ao script Search.inc.php até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** RosarioSIS versão 6.7.2 **Descrição** O problema é causado pela validação inadequada dos dados fornecidos pelo usuário pelo script PrintSchedules.php, permitindo que um invasor remoto explore a vulnerabilidade utilizando o parâmetro `include inactive` em uma URL manipulada. **Recomendações** Para o RosarioSIS versão 6.7.2, considere desativar o script PrintSchedules.php ou restringir o acesso a ele até que uma correção esteja disponível. Evite usar o parâmetro `include inactive` em URLs maliciosas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.