Lcg22266

**Nome do software vulnerável e versões afetadas** codelyfe Stupid Simple CMS versão 1.2.4 **Descrição** Foi encontrada uma vulnerabilidade no componente Página de Login do software, afetando a restrição de tentativas excessivas de autenticação. O ataque pode ser iniciado remotamente, com complexidade bastante alta e exploração difícil. A exploração foi divulgada ao público e pode ser utilizada. O fornecedor foi contatado sobre essa divulgação, mas não respondeu. **Recomendações** Para o codelyfe Stupid Simple CMS versão 1.2.4, considere implementar medidas de segurança adicionais para restringir tentativas excessivas de autenticação, como limitação de taxa ou bloqueio de IP, até que um patch esteja disponível. Como solução temporária, restrinja o acesso ao componente Página de Login para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** DedeCMS versão 5.7 **Descrição** Foi encontrada uma vulnerabilidade no DedeCMS, afetando código desconhecido do arquivo /src/dede/mda main.php. A manipulação leva à falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para o DedeCMS versão 5.7, como solução temporária, considere restringir o acesso ao arquivo /src/dede/mda main.php até que um patch esteja disponível. Evite usar este arquivo em operações remotas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** E-Commerce System version 1.0 **Description** A SQL injection issue was found in the E-Commerce System. The vulnerability can be exploited via the `id` parameter at the "/admin/delete user.php" API endpoint. **Recommendations** For E-Commerce System version 1.0, avoid using the `id` parameter in the "/admin/delete user.php" endpoint until a fix is available. As a temporary workaround, consider restricting access to the "/admin/delete user.php" endpoint to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** SourceCodester Electronic Medical Records System version 1.0 **Description** A critical issue has been found in the Cookie Handler component of the SourceCodester Electronic Medical Records System, specifically in the file administrator.php. The manipulation of the `userid` argument leads to SQL injection. This issue can be exploited remotely. **Recommendations** For SourceCodester Electronic Medical Records System version 1.0, consider restricting access to the administrator.php file and the Cookie Handler component to minimize the risk of exploitation. As a temporary workaround, avoid using the `userid` argument in the affected functionality until a patch is available. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** SourceCodester Simple Payroll System version 1.0 **Description** A vulnerability was found in the Simple Payroll System, affecting an unknown functionality of the file admin/?page=admin, specifically the POST Parameter Handler component. The manipulation of the `fullname` argument leads to cross-site scripting. This issue can be exploited remotely. **Recommendations** For SourceCodester Simple Payroll System version 1.0, consider restricting access to the admin/?page=admin file until a fix is available. As a temporary workaround, avoid using the `fullname` argument in the affected POST Parameter Handler component to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Passeios e Viagens Online, versão 1.0 **Descrição** O problema diz respeito a uma vulnerabilidade de envio arbitrário de arquivos. Essa vulnerabilidade pode ser explorada por meio do endpoint da API /tour/admin/file.php. **Recomendações** Para o Sistema de Gerenciamento de Passeios e Viagens Online versão 1.0, considere restringir o acesso ao endpoint /tour/admin/file.php até que uma correção esteja disponível. Como solução temporária, desativar a funcionalidade de upload de arquivos neste endpoint pode ajudar a minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Catfish CMS versão 4.9.90 Descrição: Uma vulnerabilidade de script entre sites (XSS) permite que invasores executem scripts da web ou HTML arbitrários por meio de uma carga maliciosa inserida no parâmetro `announcement gonggao`. Recomendações: Para o Catfish CMS versão 4.9.90, evite usar o parâmetro `announcement gonggao` até que a vulnerabilidade seja resolvida. Como solução temporária, considere restringir o acesso ao módulo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.