Furkan Gedik

**Name of the Vulnerable Software and Affected Versions** Online Shopping System Advanced version 1.0 **Description** The software contains a SQL injection flaw in the `payment success.php` script. This allows attackers to inject malicious SQL code through the unfiltered `cm` parameter. Exploitation involves sending crafted SQL queries to obtain sensitive database information by manipulating the user ID parameter. **Recommendations** Apply filters to the `cm` parameter in the `payment success.php` script to prevent SQL injection.

**Nome do Software Vulnerável e Versões Afetadas** SPA-CART CMS versão 1.9.0.3 **Descrição** O software contém uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no parâmetro de descrição do produto. Administradores autenticados podem injetar scripts maliciosos. Atacantes podem enviar payloads JavaScript através do parâmetro `descr` no formulário de edição do produto, resultando em execução arbitrária de código nos navegadores dos usuários administrativos. **Recomendações** Os administradores devem sanitizar o parâmetro `descr` no formulário de edição do produto para prevenir a injeção de scripts.

**Nome do software vulnerável e versões afetadas** Versões do plugin WP JobSearch para WordPress anteriores à 2.3.4 **Descrição** A vulnerabilidade permite que invasores não autenticados enviem arquivos arbitrários, como arquivos PHP, para o servidor devido à falta de validação de arquivos nos envios. Isso pode potencialmente levar à execução de código malicioso no servidor. **Recomendações** Para versões do plugin WP JobSearch para WordPress anteriores à 2.3.4, atualize para a versão 2.3.4 ou posterior para resolver o problema. Como solução temporária, considere desativar a funcionalidade de upload de arquivos até que um patch seja aplicado. Restrinja o acesso ao recurso de upload para minimizar o risco de exploração. Evite usar o recurso de upload do plugin até que o problema seja resolvido.