Mohammad Reza Ismaeli Taba

**Nome do software vulnerável e versões afetadas** IdeaTMS versão 2022 **Descrição** A vulnerabilidade permite injeção de SQL por meio do PATH INFO. **Recomendações** Para a versão 2022 do IdeaTMS, atualize para uma versão que inclua uma correção para esta vulnerabilidade, se disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** IdeaLMS versão 2022 **Descrição** A vulnerabilidade permite um ataque de Cross Site Scripting (XSS) refletido por meio do PATH INFO `IdeaLMS/Class/Assessment/`. Isso significa que um invasor pode injetar scripts maliciosos no site, potencialmente roubando dados de usuários ou assumindo o controle de sessões de usuários. **Recomendações** Para a versão 2022 do IdeaLMS, atualize para uma versão que corrija a vulnerabilidade de Cross Site Scripting refletido ou, como solução temporária, considere restringir o acesso ao PATH INFO `IdeaLMS/Class/Assessment/` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** IdeaLMS versão 2022 **Descrição** A vulnerabilidade permite a injeção de SQL por meio do caminho “IdeaLMS/ChatRoom/ClassAccessControl/6?isBigBlueButton=0&ClassID=”, visando especificamente a variável `ClassID`. Isso pode potencialmente levar ao acesso não autorizado ou à manipulação de dados. **Recomendações** Para a versão 2022 do IdeaLMS, como solução temporária, considere restringir o acesso ao caminho vulnerável “IdeaLMS/ChatRoom/ClassAccessControl/6?isBigBlueButton=0&ClassID=” até que uma correção esteja disponível. Evite usar a variável `ClassID` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.