Juan Soberanes

**Nome do Software Vulnerável e Versões Afetadas** Tirreno versão 0.9.5 **Descrição** Existe uma vulnerabilidade de Injeção de SQL no Tirreno versão 0.9.5. A vulnerabilidade está localizada no endpoint da API `/admin/loadUsers`, decorrente do manuseio inseguro de entrada fornecida pelo usuário no parâmetro `columns[0][data]`. Este parâmetro é incorporado diretamente às consultas SQL sem validação adequada ou parameterização. **Recomendações** Atualize para uma versão mais recente que contenha a correção para este problema. Como solução alternativa temporária, restrinja o acesso ao endpoint da API `/admin/loadUsers`.

**Nome do Software Vulnerável e Versões Afetadas** Site da Asian Arts Talents Foundation (AATF) versões 5.1.x Docker da Asian Arts Talents Foundation (AATF) versão 2024.12.8.1 **Descrição** O site e a imagem Docker da Asian Arts Talents Foundation (AATF) estão vulneráveis a uma falha de Cross-Site Scripting (XSS). O endpoint da API `/ip.php` processa o cabeçalho HTTP X-Forwarded-For sem sanitização ou codificação de saída suficiente, permitindo a injeção de código JavaScript malicioso nos navegadores dos visitantes. **Recomendações** Site da Asian Arts Talents Foundation (AATF) versão 5.1.x: Sanitizar e codificar corretamente todas as entradas fornecidas pelo usuário, especialmente dados recebidos em cabeçalhos HTTP, antes de exibi-los em páginas web. Docker da Asian Arts Talents Foundation (AATF) versão 2024.12.8.1: Sanitizar e codificar corretamente todas as entradas fornecidas pelo usuário, especialmente dados recebidos em cabeçalhos HTTP, antes de exibi-los em páginas web.