L1Nk

Name of the Vulnerable Software and Affected Versions: Emlog Pro versions through 2.5.18 Description: A security vulnerability has been detected in Emlog Pro. The issue affects an unknown function within the `/admin/blogger.php?action=update avatar` file. Manipulation of the `image` argument allows for unrestricted file uploads, and the attack can be executed remotely. The exploit has been publicly disclosed and may be used. The vendor was contacted regarding this disclosure but did not respond. Recommendations: Versions prior to 2.5.18 are affected. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: Versões do Emlog Pro até a 2.5.18 Descrição: Foi identificada uma vulnerabilidade que permite o upload de arquivos sem restrições. Este problema afeta o processamento do arquivo `/admin/media.php?action=upload&sid=0`. A manipulação do argumento `File` pode levar à vulnerabilidade. O ataque pode ser realizado remotamente e há um exploit disponível publicamente. O fornecedor foi contatado em relação a esta divulgação, mas não respondeu. Recomendações: Versões anteriores à 2.5.18 são afetadas. Como medida temporária, considere restringir o acesso ao arquivo `/admin/media.php` para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: 1000 Projects Sales Management System version 1.0 Description: A cross site scripting issue exists due to the manipulation of the `ssalescat` argument in the processing of the `/superstore/admin/sales.php` file. The attack can be initiated remotely and the exploit has been publicly disclosed. Recommendations: At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: 1000 Projects Sales Management System versão 1.0 Descrição: Existe uma vulnerabilidade em uma funcionalidade desconhecida do arquivo `/superstore/custcmp.php`. A manipulação do argumento `Username` resulta em uma injeção de SQL. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente. Recomendações: Para o 1000 Projects Sales Management System versão 1.0, sanitize ou valide o parâmetro `Username` para prevenir injeção de SQL. Como medida temporária, considere restringir o acesso ao arquivo `/superstore/custcmp.php` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas:** 1000 Projects Sales Management System versão 1.0 **Descrição:** Existe uma vulnerabilidade de injeção de SQL no 1000 Projects Sales Management System 1.0. A vulnerabilidade afeta uma funcionalidade desconhecida no arquivo `/superstore/dist/dordupdate.php`. A manipulação do argumento `select2` pode levar à injeção de SQL, e o ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações:** Versões anteriores à 1.0 devem ser atualizadas. Como medida paliativa temporária, considere restringir o acesso ao arquivo `/superstore/dist/dordupdate.php` até que um patch esteja disponível.

Name of the Vulnerable Software and Affected Versions: 1000 Projects Sales Management System version 1.0 Description: A vulnerability has been found in an unknown function of the file `/sales.php`. The manipulation of the argument `select2112` leads to cross site scripting. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. Recommendations: For 1000 Projects Sales Management System version 1.0, sanitize or properly validate the `select2112` argument to prevent the injection of malicious scripts. As a temporary workaround, consider restricting access to the `/sales.php` file until a patch is available.

Nome do Software Vulnerável e Versões Afetadas: 1000 Projects Sales Management System versão 1.0 Descrição: Existe uma vulnerabilidade no 1000 Projects Sales Management System 1.0, afetando código não identificado dentro do arquivo `/superstore/admin/sales.php`. A manipulação do parâmetro `ssalescat` resulta em uma injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente. Recomendações: Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** 1000 Projects Attendance Tracking Management System versão 1.0 **Descrição** Uma vulnerabilidade crítica foi encontrada no 1000 Projects Attendance Tracking Management System. Este problema afeta código desconhecido do arquivo /admin/edit action.php. A manipulação do argumento `attendance id` leva à Injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para a versão 1.0, considere desabilitar o acesso ao arquivo /admin/edit action.php até que um patch esteja disponível. Como solução temporária, restrinja a manipulação do argumento `attendance id` para minimizar o risco de exploração via Injeção de SQL. Evite utilizar o argumento `attendance id` no arquivo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Codezips Gym Management System versão 1.0 **Descrição** Uma vulnerabilidade crítica foi encontrada no Codezips Gym Management System. Isso afeta uma parte desconhecida do arquivo /dashboard/admin/edit mem submit.php. A manipulação do argumento `uid` resulta em Injeção de SQL. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Como medida temporária de contorno, considere restringir o acesso ao endpoint `/dashboard/admin/edit mem submit.php` até que um patch esteja disponível. Evite utilizar o argumento `uid` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** code-projects Wazifa System versão 1.0 **Descrição** Foi identificada uma falha crítica no code-projects Wazifa System, afetando uma parte desconhecida do arquivo /controllers/logincontrol.php. A manipulação do argumento `username` leva a uma injeção de SQL. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o code-projects Wazifa System versão 1.0, como solução temporária, considere restringir o acesso ao arquivo `/controllers/logincontrol.php` ou desativar a manipulação do argumento `username` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.