Hemant Patidar

**Name of the Vulnerable Software and Affected Versions** Forma LMS versão 2.3 **Description** Um problema de cross-site scripting armazenado existe que permite a atacantes injetar scripts maliciosos nos campos de nome e sobrenome do perfil do usuário. Isso permite a execução de JavaScript arbitrário quando outros usuários visualizam o perfil afetado. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Invision Community versão 4.5.4 **Descrição** A vulnerabilidade permite que um invasor insira uma carga de script entre sites (XSS) no campo `Field Name`. Quando qualquer usuário abre esse campo, a carga XSS é acionada, permitindo potencialmente que o invasor roube cookies com base na carga maliciosa. **Recomendações** Para a versão 4.5.4 do Invision Community, atualize para uma versão que inclua uma correção para este problema, a fim de evitar ataques de cross-site scripting. Como solução temporária, considere restringir o acesso ao campo `Field Name` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** FlatPress versão 1.0.3 **Descrição** A vulnerabilidade permite que um invasor injete uma carga de script entre sites (XSS) no conteúdo do blog por meio do painel de administração. Quando um usuário acessa a página do blog afetada, a carga XSS é acionada, permitindo potencialmente que o invasor roube cookies com base na carga maliciosa. **Recomendações** Para a versão 1.0.3 do FlatPress, como solução temporária, considere restringir o acesso ao painel de administração para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** EGavilanMedia User Registration and Login System With Admin Panel versão 1.0 **Descrição** O problema está relacionado a um ataque de script entre sites (XSS) na página de perfil do administrador. Isso permite que um invasor insira um código malicioso de XSS no campo “Nome completo do administrador”. Sempre que o administrador acessa a página de perfil a partir do painel de administração, o XSS é acionado. **Recomendações** Para o Sistema de Registro e Login de Usuários EGavilanMedia com Painel de Administração versão 1.0, considere validar e sanitizar as entradas do usuário no campo Nome Completo do Administrador para impedir a injeção de XSS. Como solução temporária, restrinja o acesso à página de perfil do administrador até que uma correção adequada seja implementada.

**Nome do software vulnerável e versões afetadas** WonderCMS versão 3.1.3 **Descrição** A vulnerabilidade permite que um invasor injete uma carga de script entre sites (XSS) no componente de descrição da página. Quando um usuário acessa o site, a carga XSS é acionada, permitindo potencialmente que o invasor roube cookies com base na carga maliciosa. **Recomendações** Para o WonderCMS versão 3.1.3, atualize para uma versão que corrija este problema para impedir a injeção de carga XSS no componente de descrição da página. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WonderCMS versão 3.1.3 **Descrição** A vulnerabilidade afeta o componente Menu, permitindo que um invasor injete uma carga de script entre sites (XSS) na seção Configuração - Menu. Essa carga é acionada sempre que um usuário acessa o diretório do site, possibilitando que o invasor roube cookies com base na carga maliciosa criada. **Recomendações** Para o WonderCMS versão 3.1.3, considere desativar o componente Menu em Configuração - Menu como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso às configurações do Menu para minimizar o risco de exploração. Evite usar o componente Menu vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** EGavilanMedia Sistema de Registro e Login de Usuários com Painel de Administração, versão 1.0 **Descrição** A vulnerabilidade afeta o Painel de Administração, especificamente a guia “Gerenciar Usuários”, onde um invasor pode injetar uma carga de script entre sites (XSS) utilizando o “Nome Completo” do usuário. Isso permite que o invasor roube cookies quando o administrador acessa a seção de gerenciamento de usuários, com base na carga maliciosa criada. **Recomendações** Para o Sistema de Registro e Login de Usuários EGavilanMedia com Painel de Administração versão 1.0, considere restringir a entrada no campo `Nome Completo` na seção de Registro de Usuários para impedir a injeção de payload XSS e evite usar a guia Gerenciar Usuários até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** EGavilanMedia Sistema de Registro e Login de Usuários com Painel de Administração, versão 1.0 **Descrição** A vulnerabilidade afeta a página de login do usuário, onde é possível realizar injeção de SQL. **Recomendações** Para o Sistema de Registro e Login de Usuários EGavilanMedia com Painel de Administração versão 1.0, considere implementar validação e sanitização adequadas de entradas para prevenir ataques de injeção de SQL. Como solução temporária, restrinja o acesso à página de login do usuário até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** OpenCart versão 3.0.3.6 **Descrição** O problema está relacionado a um ataque de script entre sites (XSS) no campo “Assunto” de e-mails, o que permite que um invasor insira uma carga de XSS. Quando um usuário abre o e-mail afetado no site, o XSS é acionado, permitindo que o invasor roube cookies com base na carga maliciosa. **Recomendações** Para a versão 3.0.3.6 do OpenCart, considere restringir o acesso à funcionalidade de e-mail até que uma correção esteja disponível e evite usar o campo “Assunto” do e-mail para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OpenCart versão 3.0.3.6 **Descrição** O problema diz respeito a um ataque de script entre sites (XSS) no recurso de imagem de perfil. Um administrador pode enviar um código malicioso usando JavaScript como imagem de perfil. Quando a imagem de perfil é visualizada, o código é executado, desencadeando o XSS. **Recomendações** Para a versão 3.0.3.6 do OpenCart, como solução temporária, considere desativar o recurso de upload de imagem de perfil até que uma correção esteja disponível. Restrinja o acesso à exibição da imagem de perfil para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** nopCommerce Store versão 4.30 **Descrição** O problema está relacionado a um ataque de script entre sites (XSS) no campo “Nome das tarefas agendadas”. Isso permite que um invasor injete uma carga XSS, que é acionada sempre que um usuário visita a página afetada, possibilitando que o invasor roube cookies com base na carga maliciosa criada. **Recomendações** Para a versão 4.30 do nopCommerce Store, considere desativar o campo “Nome das tarefas agendadas” até que uma correção esteja disponível para impedir a injeção de cargas XSS. Restrinja o acesso à página “Tarefas agendadas” para minimizar o risco de exploração. Evite usar o recurso “Tarefas agendadas” até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Savsoft Quiz versões 5.5 e anteriores **Descrição** A vulnerabilidade permite que um invasor injete uma carga maliciosa na seção de registro de usuários. Quando o administrador acessa a seção de gerenciamento de usuários no painel de administração, a carga maliciosa é acionada, permitindo que o invasor roube cookies por meio de uma carga maliciosa especialmente criada. Isso é resultado de uma vulnerabilidade de Stored Cross-Site Scripting (XSS). **Recomendações** Para as versões 5.5 e anteriores do Savsoft Quiz, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.