Hyd3Sec

**Nome do software vulnerável e versões afetadas** Plugin GetSimple CMS Multi User, versão 1.8.2 **Descrição** Uma vulnerabilidade do tipo Cross-Site Request Forgery (CSRF) permite que invasores remotos adicionem usuários administradores ou outros usuários após um administrador autenticado visitar um site de terceiros ou clicar em um URL. Isso ocorre porque o plugin não valida corretamente as solicitações, permitindo que invasores realizem ações não autorizadas. **Recomendações** Para o plugin GetSimple CMS Multi User versão 1.8.2, considere desativar o plugin até que uma correção esteja disponível para evitar a exploração dessa vulnerabilidade. Restrinja o acesso aos painéis de administração e certifique-se de que todos os administradores sejam cautelosos ao clicar em links externos ou visitar sites de terceiros para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SourceCodester Daily Tracker System versão 1.0 **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio do parâmetro `fullname` no arquivo “user-profile.php”. **Recomendações** Para o SourceCodester Daily Tracker System versão 1.0, evite usar o parâmetro `fullname` no arquivo vulnerável “user-profile.php” até que uma correção esteja disponível. Considere validar e sanitizar as entradas do usuário para impedir a injeção de scripts arbitrários.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Aluguel de Veículos Project Worlds, versão 1.0 **Descrição** A vulnerabilidade permite que invasores enviem arquivos arbitrários, o que pode levar à execução remota de código. Isso se deve a uma falha no componente de envio de imagens de veículos. **Recomendações** Para o Sistema de Gerenciamento de Aluguel de Veículos Project Worlds versão 1.0, considere desativar o componente de Upload de Imagens de Veículos até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a este componente para minimizar o risco de execução remota de código. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Estoque versão 1.0 **Descrição** Uma vulnerabilidade de injeção de SQL no componente de login permite que um invasor remoto execute comandos SQL arbitrários por meio do parâmetro `username`. **Recomendações** Para o Sistema de Gestão de Estoque versão 1.0, evite usar o parâmetro `username` no componente de login até que a vulnerabilidade seja resolvida. Considere restringir temporariamente o acesso à funcionalidade de login para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** BarracudaDrive versão 6.5 **Descrição** O problema diz respeito a permissões de arquivo inseguras no serviço bd, permitindo que invasores locais elevem privilégios para administrador. Isso pode ser feito substituindo o arquivo `%SYSTEMDRIVE%bdbd.exe`. Na próxima inicialização do computador, o novo bd.exe será executado com privilégios de LocalSystem. **Recomendações** Para o BarracudaDrive versão 6.5, certifique-se de que as permissões de arquivo adequadas estejam definidas para o serviço bd, a fim de impedir o acesso não autorizado e a modificação do arquivo `%SYSTEMDRIVE%bdbd.exe`. Como solução temporária, considere restringir o acesso de gravação ao diretório `%SYSTEMDRIVE%bd` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Sourcecodetester Daily Tracker System versão 1.0 **Descrição** Uma vulnerabilidade de injeção de SQL na funcionalidade de login permite que um usuário não autenticado contorne a autenticação usando injeção de SQL por meio do parâmetro `email`. **Recomendações** Para o Sourcecodetester Daily Tracker System versão 1.0, considere restringir o acesso à funcionalidade de login até que uma correção esteja disponível e evite usar o parâmetro `email` no endpoint da API afetado para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** GetSimple CMS versão 3.3.16 **Descrição** Uma vulnerabilidade de Cross-Site Scripting refletido permite que invasores remotos executem código JavaScript no navegador do usuário e, potencialmente, obtenham credenciais de login depois que o usuário clica em um link, insere suas credenciais e envia o formulário de login na página do portal de login admin/index.php. **Recomendações** Para o GetSimple CMS versão 3.3.16, atualize para uma versão que corrija essa vulnerabilidade a fim de evitar a exploração.

**Nome do software vulnerável e versões afetadas** SourceCodester Tailor Management System versão 1.0 **Descrição** Uma vulnerabilidade de Cross-Site Scripting (XSS) refletido na página de login index.php permite que invasores remotos capturem as teclas digitadas por uma vítima não autenticada que clique em um URL malicioso e comece a digitar. **Recomendações** Para o SourceCodester Tailor Management System versão 1.0, como solução temporária, considere desativar o acesso à página de login index.php até que um patch esteja disponível. Restrinja o acesso a essa página para minimizar o risco de exploração. Evite usar a página de login na versão afetada até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Projects World House Rental versão 1.0 **Descrição** O componente de upload de arquivos do software apresenta uma vulnerabilidade que permite o upload arbitrário de arquivos, possibilitando que invasores remotos executem código. Isso afeta usuários comuns. **Recomendações** Para a versão 1.0, restrinja o acesso ao componente de upload de arquivos para impedir a exploração até que uma correção esteja disponível. Considere desativar temporariamente a funcionalidade de upload de arquivos como medida de mitigação. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.