Mostafa Farzaneh

**Nome do software vulnerável e versões afetadas** Versões do plugin “Calendar Event Multi View” para WordPress anteriores à 1.4.07 **Descrição** O problema diz respeito à ausência de verificações de autorização e CSRF (Cross-Site Request Forgery) durante a criação de eventos, bem como à sanitização e escape insuficientes em alguns campos de eventos. Isso poderia permitir que invasores não autenticados criassem eventos arbitrários e injetassem cargas de Cross-Site Scripting. A vulnerabilidade pode ser explorada remotamente, levando potencialmente à falsificação de solicitações entre sites. **Recomendações** Para versões anteriores à 1.4.07, atualize para a versão 1.4.07 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de criação de eventos para minimizar o risco de exploração. Evite usar o recurso de criação de eventos do plugin até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** MotoPress Timetable and Event Schedule (versões afetadas não especificadas) **Descrição** Um problema afeta alguma funcionalidade desconhecida do arquivo /wp-admin/admin-ajax.php do componente Quick Edit. A manipulação do argumento `post title` com a entrada <img src=x onerror=alert`2`> leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MotoPress Timetable and Event Schedule, versões até 1.4.06 **Descrição** Foi identificada uma vulnerabilidade no componente Calendar Handler do MotoPress Timetable and Event Schedule. O problema afeta uma parte desconhecida do arquivo “/wp/?cpmvc id=1&cpmvc do action=mvparse&f=datafeed&calid=1&month index=1&method=adddetails&id=2”. A manipulação dos argumentos `Subject`, `Location` ou `Description` leva a um ataque de cross-site scripting. É possível iniciar o ataque remotamente. **Recomendações** Para versões do MotoPress Timetable and Event Schedule até a 1.4.06, considere desativar o componente Calendar Handler ou restringir o acesso ao arquivo afetado até que um patch esteja disponível. Como solução temporária, evite usar os argumentos `Subject`, `Location` ou `Description` no endpoint da API afetado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Everywhere CMS (versões afetadas não especificadas) **Descrição** Foi detectada uma falha crítica que afeta uma função desconhecida. A manipulação do argumento `id` leva a uma injeção de SQL, permitindo ataques remotos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Eatan CMS (versões afetadas não especificadas) **Descrição** Foi identificada uma falha crítica que afeta uma funcionalidade desconhecida do software, levando a uma injeção de SQL. Essa falha pode ser explorada remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Lógico y Creativo versão 1.0 **Descrição** Foi identificada uma falha crítica que afeta algum processo desconhecido. A manipulação do argumento `id` leva a uma injeção de SQL. Essa falha pode ser explorada remotamente. **Recomendações** Para o Lógico y Creativo versão 1.0, considere restringir o acesso ao argumento `id` para minimizar o risco de exploração por injeção de SQL até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Neetai Tech (versões afetadas não especificadas) **Descrição** Foi detectada uma falha crítica no Neetai Tech, afetando uma função desconhecida do arquivo /product.php. Essa falha permite a injeção de SQL e pode ser explorada remotamente. O código de exploração já foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MINMAX (versões afetadas não especificadas) **Descrição** Foi detectada uma falha crítica no MINMAX, afetando uma parte desconhecida do arquivo /newsDia.php. A manipulação do argumento `id` leva a uma injeção de SQL, permitindo ataques remotos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Brandbugle (versões afetadas não especificadas) **Descrição** Uma falha crítica afeta alguma funcionalidade desconhecida do arquivo /main.php, levando a uma injeção de SQL. O ataque pode ser lançado remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Chichen Tech CMS versão 1.0 Descrição: O problema está relacionado a vulnerabilidades de injeção de SQL encontradas no arquivo product list.php. As vulnerabilidades podem ser exploradas por meio dos parâmetros `id` e `cid`. Recomendações: Para o Chichen Tech CMS versão 1.0, considere restringir o acesso ao arquivo product list.php ou evitar o uso dos parâmetros `id` e `cid` até que uma correção esteja disponível.