Jakub Toczyski

**Nome do Software Vulnerável e Versões Afetadas** ProjectsAndPrograms school-management-system (versões afetadas não especificadas) **Description** O Cross-Site Scripting (XSS) Armazenado existe em múltiplos atributos de objetos de alunos e professores. Isso permite que um invasor autorizado, como um professor ou administrador, injete JavaScript malicioso que é executado nos navegadores de outros usuários. Quando combinado com uma falha que permite acesso não autenticado a endpoints de backend, um invasor remoto sem privilégios pode injetar e executar JavaScript arbitrário. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ProjectsAndPrograms school-management-system (versões afetadas não especificadas) **Description** O software utiliza credenciais previsíveis ao gerar senhas para alunos e professores baseando-se exclusivamente na data de nascimento do usuário. Além disso, a aplicação não exige que os usuários alterem a senha no primeiro login, o que permite que atacantes adivinhem ou derivem credenciais válidas para obter acesso não autorizado a contas. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.