Ischyr

**Nome do Software Vulnerável e Versões Afetadas** Karthikg1908 Hospital Management System (HMS) versão 1.0 **Descrição** Existe uma vulnerabilidade de injeção de SQL nos arquivos `user-login.php` e `index.php`. A aplicação não sanitiza adequadamente a entrada antes de utilizá-la em consultas SQL. Isso permite que atacantes remotos executem consultas SQL arbitrárias através dos parâmetros POST `username` e `password`. A exploração bem-sucedida pode levar a acesso não autorizado, escalonamento de privilégios, tomada de conta ou exposição de dados médicos sensíveis. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** DevaslanPHP project-management versão 1.2.4 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado no DevaslanPHP project-management versão 1.2.4. A vulnerabilidade está localizada no campo "Ticket Name", que não sanitiza adequadamente a entrada do usuário. Um atacante autenticado pode injetar payloads JavaScript maliciosos neste campo. Esses payloads são armazenados no banco de dados e executados no contexto do navegador do usuário quando este faz login e é redirecionado para o painel Dashboard após a autenticação. **Recomendações** Atualize o DevaslanPHP project-management para uma versão que corrija este problema. Como solução alternativa temporária, sanitze toda a entrada do usuário para o campo "Ticket Name" para prevenir a injeção de scripts maliciosos.