Imad Alvi

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Inventory System versão 1.0 **Description** Cross site scripting pode ser acionado remotamente através do componente User Management Page no arquivo '/users.php'. O problema ocorre por meio da manipulação dos argumentos `fullname` ou `username`. **Recommendations** Atualize o SourceCodester Inventory System para uma versão posterior à 1.0. Como medida paliativa temporária, restrinja o acesso ao arquivo '/users.php' ou à página User Management Page para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** code-projects Vehicle Management System versão 1.0 **Descrição** Um problema de upload de arquivo irrestrito existe no componente New Driver Registration Form, no arquivo 'newdriver.php'. Um invasor remoto pode realizar isso manipulando o argumento `photo`, permitindo o upload de arquivos não autorizados. **Recomendações** Atualize o code-projects Vehicle Management System para uma versão que resolva este problema. Como medida paliativa temporária, restrinja o acesso ao arquivo 'newdriver.php' ou ao componente New Driver Registration Form.

**Nome do Software Vulnerável e Versões Afetadas** code-projects Smart Parking System versão 1.0 **Description** Uma falha no componente Admin Endpoint permite que atacantes remotos ignorem a autenticação. Este problema afeta múltiplos endpoints no sistema. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** code-projects Hotel and Tourism Reservation System versão 1.0 **Description** Uma fraqueza no componente GET Parameter Handler dentro do arquivo `tour.php` permite a ocorrência de SQL injection remotamente. Isso acontece quando o argumento `tour` é manipulado, permitindo que um invasor interfira nas consultas ao banco de dados da aplicação. **Recommendations** Como medida paliativa temporária, restrinja o acesso ao parâmetro `tour` no arquivo `tour.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

A security flaw has been discovered in code-projects Hotel and Tourism Reservation System 1.0. Impacted is an unknown function of the file /ht/tour.php. Performing a manipulation of the argument name /email /people /number results in cross site scripting. The attack can be initiated remotely. The exploit has been released to the public and may be used for attacks.

A vulnerability was identified in code-projects Hotel and Tourism Reservation System 1.0. This issue affects the function password verify of the file /admin/login.php of the component Admin Login. Such manipulation of the argument Password leads to improper authentication. It is possible to launch the attack remotely. The exploit is publicly available and might be used.

**Nome do Software Vulnerável e Versões Afetadas** Visitor Management System versão 1.0 **Descrição** Uma falha de injeção de SQL existe no endpoint `/vms/php/phone 0.php`. O problema é desencadeado pela manipulação do argumento `phone`, permitindo que um invasor remoto execute comandos SQL arbitrários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** code-projects Student Details Management System versão 1.0 **Description** Uma injeção de SQL remota é possível através da manipulação do argumento `roll` no endpoint '/index.php'. SQL injection é um tipo de vulnerabilidade que permite a um invasor interferir nas consultas que uma aplicação faz ao seu banco de dados. **Recommendations** Atualize o code-projects Student Details Management System versão 1.0 para uma versão corrigida. Como medida paliativa temporária, restrinja o acesso ao endpoint '/index.php' ou sanitize o argumento `roll` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Pizzafy Ecommerce System versão 1.0 **Description** Uma injeção de SQL remota existe no GET Parameter Handler do arquivo '/admin/view order.php'. Este problema ocorre quando o argumento `ID` é manipulado, permitindo que um invasor execute comandos SQL arbitrários. **Recommendations** Como medida paliativa temporária, evite usar o parâmetro `ID` no endpoint '/admin/view order.php' até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Pizzafy Ecommerce System versão 1.0 **Descrição** Um problema de upload irrestrito existe no componente File Extension Handler. Um invasor remoto pode manipular o argumento `img` dentro da função `save menu()` do arquivo '/admin/admin class novo.php' para realizar o upload de arquivos arbitrários. **Recomendações** Restringir o acesso à função `save menu()` no arquivo '/admin/admin class novo.php' ou validar o parâmetro `img` para evitar uploads de arquivos irrestritos.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester CET Automated Grading System with AI Predictive Analytics versão 1.0 **Descrição** Um problema de cross-site scripting existe no componente de Registro. Um invasor remoto pode executá-lo manipulando os argumentos `student id`, `full name`, `section` ou `username` no endpoint "/index.php?action=register". **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** code-projects Coaching Management System versão 1.0 **Descrição** Um problema existe no componente POST Handler dentro do arquivo '/cims/modules/admin/reply.php'. Atacantes remotos podem realizar SQL injection, uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução, ao manipular o argumento `complaintreply`. **Recomendações** Como medida paliativa temporária, restrinja o acesso ao arquivo '/cims/modules/admin/reply.php' ou evite usar o argumento `complaintreply` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** code-projects Coaching Management System versão 1.0 **Descrição** Um problema existe na Página do Formulário de Reclamação no arquivo '/cims/modules/student/complaint.php'. Atacantes remotos podem iniciar cross-site scripting (XSS) — uma técnica onde scripts maliciosos são injetados em sites confiáveis — ao manipular o argumento `Complaint`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** code-projects Home Service System versão 1.0 **Descrição** Uma falha de cross-site scripting (XSS) existe no componente Appointment Booking, no endpoint '/booking.php'. Atacantes remotos podem manipular os parâmetros `fname` e `lname` para injetar scripts maliciosos nos fluxos de agendamento de consultas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** CodeAstro Online Job Portal versão 1.0 **Descrição** Um problema no arquivo '/users/user-cvs/' permite que atacantes remotos acessem informações sensíveis de arquivos e diretórios. Essa exposição de informações pode ser usada para obter detalhes sobre caminhos ou arquivos no sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** CodeAstro Online Job Portal versão 1.0 **Descrição** Uma falha de segurança no componente All Jobs Page permite a execução de SQL injection remotamente. Isso ocorre por meio da manipulação do argumento `ID` em uma função desconhecida do endpoint '/admin/jobs-admins/delete-jobs.php'. SQL injection é uma técnica onde um invasor insere código SQL malicioso em uma consulta, potencialmente permitindo a manipulação do banco de dados. **Recomendações** Como medida paliativa temporária, restrinja o acesso ao endpoint '/admin/jobs-admins/delete-jobs.php' ou evite usar o argumento `ID` nesse arquivo até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Simple Content Management System versão 1.0 **Description** Um problema existe na funcionalidade de login dentro do arquivo '/web/admin/login.php'. A manipulação do argumento `User` permite a ocorrência de SQL injection, uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução, potencialmente permitindo acesso não autorizado ao banco de dados. Este ataque pode ser realizado remotamente. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** CodeAstro Online Job Portal versão 1.0 **Description** Controles de acesso inadequados no componente Delete Job Posting Handler permitem que um invasor remoto manipule o argumento `ID`. Este problema existe em uma função desconhecida do arquivo '/jobs/job-delete.php'. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas code-projects Simple Content Management System versão 1.0 Descrição Um problema de cross-site scripting existe no arquivo '/web/admin/welcome.php'. Isso ocorre quando o argumento `News Title` é manipulado, permitindo que o ataque seja executado remotamente. Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Simple Content Management System versão 1.0 **Description** Um problema no arquivo '/web/index.php' permite a ocorrência de SQL injection, que é uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução. Isso ocorre por meio da manipulação do argumento `ID`, permitindo a exploração remota. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.