Jennifer Bornholt

**Nome do software vulnerável e versões afetadas: Jomres (com jomres) versões anteriores à 7.3.1 para Joomla! Descrição: Uma vulnerabilidade de script entre sites (XSS) permite que usuários remotos autenticados com a permissão “Gerente de Negócios” injetem scripts da web ou HTML arbitrários por meio do parâmetro `property name`, relacionado à edição de detalhes de propriedades. Recomendações: Para versões anteriores à 7.3.1, atualize para a versão 7.3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `property name` ao editar detalhes de propriedades até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas: Jomres (com jomres) versões anteriores à 7.3.1 para Joomla! Descrição: A falha permite que usuários remotos autenticados com a permissão “Business Manager” executem comandos SQL arbitrários por meio do parâmetro `id` na ação `editProfile` direcionada a “administrator/index.php”. Trata-se de uma vulnerabilidade de injeção de SQL. Recomendações: Para versões anteriores à 7.3.1, atualize para a versão 7.3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação `editProfile` no arquivo administrator/index.php para minimizar o risco de exploração. Evite usar o parâmetro `id` no endpoint da API afetado até que o problema seja resolvido.