Martin Kubecka

**Nome do Software Vulnerável e Versões Afetadas** Logseq versão 0.10.9 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) no Logseq. A falha está localizada no componente `/app/marketplace.html` e permite a execução de código arbitrário. Isso é realizado injetando JavaScript em um arquivo README.md especialmente criado. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Despesas versão 1.0 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada na aplicação Sistema de Gestão de Despesas, permitindo a execução arbitrária de comandos JavaScript através do endpoint “index.php”. Isso permite que possíveis invasores executem scripts maliciosos. **Recomendações** Para a versão 1.0, considere desativar o acesso ao endpoint “index.php” até que uma correção esteja disponível para impedir a exploração da vulnerabilidade XSS armazenada. Restringir a validação e a sanitização das entradas do usuário também pode ajudar a minimizar o risco de execução arbitrária de comandos JavaScript. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Site de gerenciamento de currículos e candidaturas a vagas, versão 1.0 **Descrição** Existe uma vulnerabilidade de injeção de SQL no formulário de login do aplicativo Site de gerenciamento de currículos e candidaturas a vagas de emprego, permitindo a contornagem da autenticação através do endpoint “login.php”. **Recomendações** Para a versão 1.0, atualize o formulário de login para sanitizar adequadamente as entradas do usuário e prevenir ataques de injeção de SQL. Como solução temporária, considere restringir o acesso ao endpoint “login.php” até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** FlatPress versão 1.2.1 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada, que permite a execução arbitrária de comandos JavaScript por meio do conteúdo do blog. **Recomendações** Para a versão 1.2.1 do FlatPress, atualize para uma versão que corrija essa vulnerabilidade, pois a versão atual permite a execução de comandos JavaScript arbitrários, representando um risco significativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do GRANDCOM DynWEB anteriores à 4.2 **Descrição** A vulnerabilidade permite que um invasor remoto não autenticado explore uma vulnerabilidade de injeção de SQL na interface de login de administrador. Isso pode levar à obtenção de acesso administrativo à página da web, ao acesso ao banco de dados de usuários, à modificação do conteúdo da web e ao upload de arquivos personalizados. O script de login do backend não verifica nem sanitiza strings fornecidas pelo usuário, como `username` e `password`. **Recomendações** Para versões do GRANDCOM DynWEB anteriores à 4.2, atualize para a versão 4.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface de login de administrador para minimizar o risco de exploração. Além disso, evite usar entradas de usuário não sanitizadas no script de login do backend até que o problema seja resolvido.