Khanmarshal

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenCart anteriores à 4.1.0.4 **Descrição** Existe uma vulnerabilidade de segurança no OpenCart relacionada ao componente Manipulador de Cupons de Uso Único. A manipulação deste componente pode resultar em uma condição de corrida. A vulnerabilidade pode ser explorada remotamente e é considerada de difícil exploração. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Atualize o OpenCart para a versão 4.1.0.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** LearnHouse (versões afetadas não especificadas) **Descrição** Existe uma falha no LearnHouse relacionada ao componente Image Handler, resultando em divulgação de informações. Esta falha pode ser explorada remotamente. O exploit está disponível publicamente. O fornecedor foi informado sobre este problema, mas não forneceu uma resposta. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do LearnHouse anteriores a 98dfad76aad70711a8113f6c1fdabfccf10509ca **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting no LearnHouse. O problema está localizado no componente da Página de Configurações da Conta, especificamente no arquivo '/dash/org/settings/previews', envolvendo uma função desconhecida. O ataque pode ser lançado remotamente. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** LearnHouse (versões afetadas não especificadas) **Descrição** Existe uma falha que resulta no controle inadequado de identificadores de recursos. Este problema está localizado no componente Student Assignment Submission Handler, afetando especificamente uma função desconhecida dentro do arquivo `/api/v1/assignments/{assignment id}/tasks/{task id}/sub file`. O ataque pode ser iniciado remotamente. O exploit para este problema foi divulgado publicamente. O produto utiliza entrega contínua com lançamentos contínuos (rolling releases), e não há detalhes específicos de versão disponíveis para lançamentos afetados ou atualizados. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do LearnHouse anteriores a 98dfad76aad70711a8113f6c1fdabfccf10509ca **Descrição** Existe uma falha no LearnHouse que permite o upload de arquivos sem restrições. O problema está localizado no componente Course Thumbnail Handler, afetando especificamente uma função desconhecida associada ao endpoint `/api/v1/courses/`. O parâmetro `thumbnail` é suscetível à manipulação, permitindo que atacantes remotos façam upload de arquivos sem restrições. Os detalhes do exploit foram divulgados publicamente. **Recomendações** Versões anteriores a 98dfad76aad70711a8113f6c1fdabfccf10509ca devem ser atualizadas. Como solução temporária, restrinja o acesso ao endpoint `/api/v1/courses/`. Evite utilizar o parâmetro `thumbnail` até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** givanz Vvveb versões até 1.0.7.2 **Descrição** Existe uma falha de segurança no componente Image Handler do givanz Vvveb. A manipulação deste componente pode levar à divulgação de informações. A exploração remota é possível e o exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** givanz Vvveb versões até a 1.0.7.2 **Descrição** Existe uma falha no componente Manipulador de Arquivo de Configuração que pode levar à divulgação de informações. A falha é potencialmente explorável remotamente. O exploit foi divulgado publicamente. **Recomendações** Atualize para uma versão superior à 1.0.7.2.

**Nome do Software Vulnerável e Versões Afetadas** givanz Vvveb versões até a 1.0.7.2 **Descrição** Existe uma vulnerabilidade de cross-site scripting no componente de manipulação de arquivos SVG. Esta manipulação pode ser executada remotamente. O exploit está disponível publicamente. **Recomendações** Atualize para uma versão superior à 1.0.7.2.

**Nome do Software Vulnerável e Versões Afetadas** givanz Vvveb versões até 1.0.7.2 **Descrição** Existe uma vulnerabilidade no givanz Vvveb que pode permitir falsificação de solicitação entre sites (CSRF). A vulnerabilidade afeta código desconhecido e pode ser explorada remotamente. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** academico-sis versions prior to d9a9e2636fbf7e5845ee086bcb03ca62faceb6ab **Description** A vulnerability exists in academico-sis related to the Profile Picture Handler component. The issue involves unrestricted upload via the `/edit-photo` file. This manipulation is possible to be carried out remotely. The exploit has been publicly disclosed. The product adopts a rolling release strategy to maintain continuous delivery. **Recommendations** Update academico-sis to version d9a9e2636fbf7e5845ee086bcb03ca62faceb6ab or later.

**Nome do Software Vulnerável e Versões Afetadas** Selleo Mentingo versão 2025.08.27 **Descrição** Existe uma vulnerabilidade no Selleo Mentingo 2025.08.27 no componente Content-Type Handler. A manipulação do argumento `userAvatar` resulta em upload irrestrito, e o ataque pode ser realizado remotamente. O exploit está disponível publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Selleo Mentingo anteriores a 2025.08.28 **Descrição** Foi identificado um problema de segurança no Selleo Mentingo. A vulnerabilidade reside em uma função desconhecida dentro do componente Profile Picture Handler. A manipulação do argumento `userAvatar` permite o upload de arquivos sem restrições, e o ataque pode ser executado remotamente. O exploit foi divulgado publicamente e o fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores a 2025.08.28: Restrinja ou desabilite o uso do componente Profile Picture Handler até que uma correção esteja disponível. Evite fazer upload de arquivos através do argumento `userAvatar`.

**Nome do Software Vulnerável e Versões Afetadas** Selleo Mentingo versão 2025.08.27 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting devido à manipulação do argumento `Description` no processamento do endpoint `/api/course/enroll-course` dentro do componente Create New Course Basic Settings. O ataque pode ser lançado remotamente. **Recomendações** Como solução temporária, considere restringir o acesso ao endpoint `/api/course/enroll-course` até que uma correção esteja disponível. Sanitizar o argumento `Description` para prevenir a injeção de scripts maliciosos.