Khanhchauminh

**Name of the Vulnerable Software and Affected Versions** pimcore/customer-management-framework-bundle versions prior to 3.3.9 **Description** The Customer Management Framework (CMF) for Pimcore has a business logic error in the `Conditions` tab, where the counter can be a negative number, leading to unlogic in the counter value. This issue is capable of causing business logic errors in the Conditions tab. **Recommendations** For versions prior to 3.3.9, update to version 3.3.9 to receive a patch. As a temporary workaround, apply the patch manually.

**Nome do software vulnerável e versões afetadas** ProjectWorlds Online Book Store, versão PHP 1.0 **Descrição** Uma vulnerabilidade CSRF no arquivo admin delete.php permite que um invasor remoto exclua qualquer livro. **Recomendações** Para a ProjectWorlds Online Book Store PHP versão 1.0, considere implementar mecanismos adequados de proteção contra CSRF, como tokens, para impedir ações não autorizadas. Como solução temporária, restrinja o acesso ao arquivo admin delete.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Projectsworlds Online Shopping System, versão PHP 1.0 **Descrição** O problema diz respeito a uma injeção de SQL por meio do parâmetro `id` no arquivo “cart remove.php”. Isso permite a possível manipulação de consultas ao banco de dados. **Recomendações** Para o Sistema de Compras Online Projectsworlds, versão PHP 1.0, considere restringir o acesso ao arquivo “cart remove.php” até que uma correção adequada seja aplicada e certifique-se de que as entradas do usuário para o parâmetro `id` sejam devidamente sanitizadas para evitar ataques de injeção de SQL.

**Nome do software vulnerável e versões afetadas** ProjectWorlds Online Shopping System, versão PHP 1.0 **Descrição** Uma falha de CSRF no arquivo cart remove.php permite que um invasor remoto remova qualquer produto do carrinho de um cliente. **Recomendações** Para o Sistema de Compras Online ProjectWorlds, versão PHP 1.0, considere implementar mecanismos adequados de proteção contra CSRF, como validação baseada em token, para impedir solicitações não autorizadas ao arquivo cart remove.php. Como solução temporária, restrinja o acesso ao arquivo cart remove.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Projectsworlds Online Book Store, versão PHP 1.0 **Descrição** O problema diz respeito a uma injeção de SQL por meio do parâmetro `bookisbn` no arquivo “cart.php”. Isso permite a possível manipulação de consultas ao banco de dados. **Recomendações** Para a Projectsworlds Online Book Store PHP versão 1.0, considere validar e sanitizar as entradas do usuário para o parâmetro `bookisbn` no arquivo “cart.php” a fim de prevenir ataques de injeção de SQL. Como solução temporária, restrinja o acesso ao arquivo “cart.php” até que uma correção adequada seja implementada.

**Nome do software vulnerável e versões afetadas: Projectworlds Hospital Management System versão 1.0 Descrição: O problema diz respeito a uma vulnerabilidade de injeção de SQL por meio de vários parâmetros no arquivo admin home.php. Recomendações: Para o Sistema de Gestão Hospitalar Projectworlds versão 1.0, considere restringir o acesso ao arquivo admin home.php até que uma correção esteja disponível. Como solução temporária, evite usar os parâmetros vulneráveis no arquivo admin home.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Projectworlds Hospital Management System versão 1.0 Descrição: A vulnerabilidade permite que um usuário mal-intencionado autenticado comprometa o sistema de banco de dados por meio de injeção de SQL em vários parâmetros no arquivo `add patient.php`. Isso pode potencialmente levar à execução remota de código no servidor web remoto. Recomendações: Para o Sistema de Gestão Hospitalar Projectworlds versão 1.0, considere restringir o acesso ao arquivo `add patient.php` até que uma correção esteja disponível. Como solução temporária, evite usar parâmetros vulneráveis no arquivo `add patient.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Sistema de Gestão Hospitalar Projectworlds, versão 1.0 Descrição: A vulnerabilidade permite injeção de SQL por meio do parâmetro `appointment no` no endpoint “payment.php”. Recomendações: Para o Sistema de Gestão Hospitalar Projectworlds versão 1.0, evite usar o parâmetro `appointment no` no endpoint payment.php até que a vulnerabilidade seja resolvida. Considere restringir temporariamente o acesso ao endpoint payment.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Projectworlds Hospital Management System versão 1.0 Descrição: A vulnerabilidade diz respeito a injeção de SQL por meio do parâmetro `email` no arquivo `hms-staff.php`. Isso permite a possível manipulação de dados ou acesso não autorizado. Recomendações: Para o Sistema de Gestão Hospitalar Projectworlds versão 1.0, considere restringir o acesso ao arquivo `hms-staff.php` ou desativar o parâmetro `email` para minimizar o risco de exploração até que uma correção esteja disponível. Evite usar o parâmetro `email` no arquivo afetado até que o problema seja resolvido.