Murphy

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Eventos da Universidade, versão 1.0 **Descrição** Uma falha crítica afeta o processamento do arquivo /dodelete.php, onde a manipulação do argumento `id` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. A vulnerabilidade já foi divulgada ao público e pode estar sendo explorada. **Recomendações** Para o Sistema de Gerenciamento de Eventos da Universidade versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /dodelete.php até que um patch esteja disponível. Evite usar o argumento `id` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do MyBB anteriores à 1.8.24 **Descrição** O problema decorre de uma escapagem inadequada de entradas no MyCode personalizado para o editor visual, levando a uma vulnerabilidade XSS baseada em DOM. Isso pode ser explorado direcionando a vítima para uma página com o editor visual ativo, como uma postagem ou mensagem privada, onde ele opera em uma mensagem MyCode criada de forma maliciosa. Os cenários de exploração incluem páginas com conteúdo de mensagem pré-preenchido usando parâmetros GET/POST ou páginas de resposta citando mensagens maliciosas salvas anteriormente. **Recomendações** Para versões anteriores à 1.8.24, atualize para a versão 1.8.24 e certifique-se de que o atributo de versão no modelo `codebuttons` seja atualizado para temas não padrão, a fim de servir a versão mais recente do arquivo corrigido `jscripts/bbcodes sceditor.js`.