Johnchd

**Nome do Software Vulnerável e Versões Afetadas** WebERP versão 4.15.2 **Descrição** Uma vulnerabilidade de Injeção de SQL (SQLi) baseada em erro permite que atacantes executem comandos SQL arbitrários e extraiam dados sensíveis ao injetar um payload manipulado no campo de formulário `DEL` em uma requisição POST para "/StockCounts.php". Isso possibilita a extração de informações confidenciais. **Recomendações** Para a versão 4.15.2 do WebERP, considere desativar o endpoint `/StockCounts.php` ou restringir o acesso ao campo de formulário `DEL` até que uma correção esteja disponível. Como solução temporária, evite usar o campo de formulário `DEL` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** WebERP versão 4.15.2 **Descrição** Uma vulnerabilidade de Injeção de SQL permite que atacantes executem comandos SQL arbitrários e extraiam dados sensíveis injetando um payload manipulado nos parâmetros `ReportID` e `ReplaceReportID` dentro de uma requisição POST para "/reportwriter/admin/ReportCreator.php". **Recomendações** Para a versão 4.15.2 do WebERP, como uma solução temporária, considere desabilitar o endpoint "/reportwriter/admin/ReportCreator.php" até que um patch esteja disponível. Restrinja o acesso aos parâmetros `ReportID` e `ReplaceReportID` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Nome do Software Vulnerável e Versões Afetadas: Openmrs versão 2.4.3 Build 0ff0ed Descrição: Existe uma vulnerabilidade de cross-site scripting (XSS) refletido no componente /legacyui/quickReportServlet, permitindo que atacantes executem JavaScript arbitrário no contexto do navegador de um usuário. Isso é realizado injetando um payload manipulado no parâmetro `reportType`. Recomendações: Para o Openmrs versão 2.4.3 Build 0ff0ed, como medida temporária, considere restringir o acesso ao componente /legacyui/quickReportServlet até que um patch esteja disponível. Evite utilizar o parâmetro `reportType` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.