M507

**Nome do software vulnerável e versões afetadas** Versões do RosarioSIS anteriores à 6.8-beta **Descrição** A vulnerabilidade está relacionada a um problema nos atributos href dos arquivos “AddStudents.php” e “User.php” no arquivo NotifyParents.php, dentro do módulo Custom, o que permite ataques XSS. **Recomendações** Para versões do RosarioSIS anteriores à 6.8-beta, como solução temporária, considere restringir o acesso ao arquivo NotifyParents.php no módulo Custom até que uma correção esteja disponível. Evite usar os atributos href para “AddStudents.php” e “User.php” no arquivo NotifyParents.php até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Admidio anteriores à 3.3.13 **Descrição** O problema está relacionado à neutralização incorreta de elementos especiais usados em comandos SQL, permitindo a injeção de SQL. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas usando consultas SQL especialmente criadas. A vulnerabilidade afeta a confidencialidade do sistema. Um invasor pode enviar uma solicitação GET com consultas SQL arbitrárias anexadas ao parâmetro `main cookie` e executar consultas SQL sem fazer login. **Recomendações** Para versões anteriores à 3.3.13, atualize para a versão 3.3.13 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de consultas SQL para minimizar o risco de exploração. Evite usar o parâmetro `main cookie` em consultas SQL até que o problema seja resolvido.