Muffyhub

**Name of the Vulnerable Software and Affected Versions** ChurchCRM version 4.2.0 **Description** The issue allows remote attackers to execute arbitrary code via a crafted CSV file. This is a result of a CSV Injection vulnerability. **Recommendations** For ChurchCRM version 4.2.0, update to a version that contains a fix for this issue. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** ChurchCRM version 4.2.1 **Description** The issue allows remote attackers to execute arbitrary code and gain sensitive information via a crafted payload in the `Add New Deposit` field in the `View All Deposit` module. This is a Cross Site Scripting (XSS) vulnerability. **Recommendations** For ChurchCRM version 4.2.1, consider disabling the `Add New Deposit` field in the `View All Deposit` module as a temporary workaround until a patch is available. Restrict access to the `View All Deposit` module to minimize the risk of exploitation. Avoid using crafted payloads in the `Add New Deposit` field until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Anuko Time Tracker anteriores à 1.19.23.5325 **Descrição** O problema decorre da filtragem inadequada das entradas do usuário, o que pode levar à exportação de um relatório em CSV contendo células que são interpretadas como fórmulas por programas de planilhas. Isso ocorre quando o valor de uma célula começa com um sinal de igual. **Recomendações** Para versões anteriores à 1.19.23.5325, atualize para a versão 1.19.23.5325 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Grocy <= 2.7.1 **Descrição** O problema está relacionado a Cross-Site Scripting, que pode ser explorado através do módulo “Criar Lista de Compras” quando este é excluído. Esse problema também está presente em outros módulos, incluindo usuários, baterias, tarefas domésticas, equipamentos, locais, unidades de medida, locais de compras, tarefas, categorias de tarefas, grupos de produtos, receitas e produtos. Para explorar essa vulnerabilidade, é necessária autenticação, e recomenda-se que o Grocy não seja exposto publicamente. **Recomendações** Para versões do Grocy <= 2.7.1, atualize para uma versão superior à 2.7.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo Create Shopping List e a outros módulos afetados até que um patch esteja disponível. Além disso, certifique-se de que o Grocy não esteja exposto publicamente para minimizar o risco de exploração.