Marcela Benetrix

**Nome do software vulnerável e versões afetadas: Dokeos versão 2.1.1 Descrição: A vulnerabilidade envolve vários problemas de XSS relacionados aos parâmetros `extra ` no arquivo `main/auth/profile.php`. Isso poderia permitir que invasores executassem scripts maliciosos. Recomendações: Para a versão 2.1.1 do Dokeos, considere restringir o acesso ao arquivo `main/auth/profile.php` ou desativar o uso dos parâmetros `extra ` até que uma correção esteja disponível. Evite usar os parâmetros `extra ` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Horde Groupware Webmail Edition versions 5.1.2 and earlier **Description** The issue concerns multiple CSRF problems. **Recommendations** For versions 5.1.2 and earlier, update to a version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** AJAX Post Search (cardoza-ajax-search) plugin versions prior to 1.3 **Description** The issue allows remote attackers to execute arbitrary SQL commands. This is achieved by exploiting the `srch txt` parameter in a "the search text" action to the `/wp-admin/admin-ajax.php` API endpoint, specifically targeting the `the search function` function in `cardoza ajax search.php`. **Recommendations** For versions prior to 1.3, update to version 1.3 or later to resolve the issue. As a temporary workaround, consider restricting access to the `the search function` function in `cardoza ajax search.php` until the update is applied. Avoid using the `srch txt` parameter in the affected API endpoint until the issue is resolved.