N1N3B9S

Name of the Vulnerable Software and Affected Versions: xujeff tianti 天梯 versions prior to 2.3 Description: A problematic issue exists in xujeff tianti 天梯. The `exportOrder` function within the `/tianti-module-admin/user/ajax/save` file of the `com.jeff.tianti.controller` component is susceptible to CSV injection. This issue can be exploited remotely. The exploit has been publicly disclosed. Recommendations: Update to a version prior to 2.3.

Nome do Software Vulnerável e Versões Afetadas: xujeff tianti 天梯 versões anteriores à 2.3 Descrição: Existe um problema crítico no xujeff tianti 天梯，potencialmente resultando em ausência de autorização. A vulnerabilidade afeta código desconhecido dentro do endpoint da API `/tianti-module-admin/user/ajax/save` e pode ser explorada remotamente. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. Recomendações: Atualize para uma versão anterior à 2.3 para resolver este problema.

Nome do Software Vulnerável e Versões Afetadas: macrozheng mall versões até a 1.0.3 Descrição: Existe uma vulnerabilidade nas versões do macrozheng mall até a 1.0.3 devido a um bypass de autorização. O problema está relacionado à manipulação do argumento `orderId` dentro da função `detail` do arquivo `UmsMemberController.java`, parte do componente `com.macro.mall.portal.controller`. O ataque pode ser iniciado remotamente e o exploit foi divulgado publicamente. O fornecedor foi contatado, mas não respondeu. Recomendações: As versões anteriores à 1.0.3 devem ser atualizadas. Como solução temporária, restrinja o acesso à função `detail` do arquivo `UmsMemberController.java` até que um patch esteja disponível. Evite utilizar o argumento `orderId` na função afetada até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** macrozheng mall versões até 1.0.3 **Descrição** Existe uma vulnerabilidade na função `Upload` do arquivo `/minio/upload` dentro do componente `Add Product Page`. A manipulação do argumento `File` pode resultar em cross-site scripting (XSS). Este problema é explorável remotamente. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores à 1.0.3: Trate a vulnerabilidade sanitizando ou validando o argumento `File` dentro da função `Upload` do arquivo `/minio/upload`. Como solução temporária, considere restringir o upload de arquivos a tipos conhecidos como seguros.

**Nome do Software Vulnerável e Versões Afetadas** macrozheng mall versões até a 1.0.3 **Descrição** Existe uma vulnerabilidade no macrozheng mall até a versão 1.0.3, envolvendo a transmissão em texto claro de informações sensíveis. A vulnerabilidade afeta uma funcionalidade desconhecida do arquivo `/admin/login` e pode ser explorada remotamente. A complexidade do ataque é alta e a exploração é considerada difícil. O exploit foi divulgado publicamente e o fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** macrozheng mall versão 1.0.3 **Descrição** Existe uma falha no componente de Login Administrativo, resultando em restrição inadequada de tentativas excessivas de autenticação. O ataque pode ser lançado remotamente e é considerado difícil de explorar. O fornecedor foi contatado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Campcodes Online Movie Theater Seat Reservation System versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no Campcodes Online Movie Theater Seat Reservation System, classificada como crítica. A vulnerabilidade afeta código desconhecido dentro do arquivo `/admin/manage seat.php`. A manipulação do argumento `ID` resulta em uma injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente. **Recomendações** Como solução alternativa temporária, considere restringir o acesso ao arquivo `/admin/manage seat.php` para minimizar o risco de exploração. Sanitizar o parâmetro `ID` antes de utilizá-lo em consultas SQL.

**Nome do Software Vulnerável e Versões Afetadas** PHPGurukul Complaint Management System versão 2.0 **Descrição** Existe uma vulnerabilidade no PHPGurukul Complaint Management System 2.0. A falha envolve falsificação de solicitação entre sites (CSRF) devido à manipulação de uma função desconhecida. Isso permite ataques remotos. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Campcodes Online Movie Theater Seat Reservation System versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no Campcodes Online Movie Theater Seat Reservation System. A manipulação do argumento `Firstname`/`Lastname` no endpoint `/index.php?page=reserve` do componente Reserve Your Seat Page resulta em cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Campcodes Online Movie Theater Seat Reservation System versão 1.0: Sanitizar ou validar adequadamente os argumentos `Firstname` e `Lastname` no endpoint `/index.php?page=reserve` para prevenir a injeção de scripts maliciosos.

**Nome do Software Vulnerável e Versões Afetadas** PHPGurukul Complaint Management System versão 2.0 **Descrição** Existe uma vulnerabilidade de cross-site scripting no PHPGurukul Complaint Management System 2.0. A vulnerabilidade está localizada no arquivo `/admin/complaint-search.php`. A manipulação do parâmetro `Search` pode levar a cross-site scripting. O exploit foi divulgado publicamente. **Recomendações** Resolva o problema sanitizando o parâmetro `Search` no arquivo `/admin/complaint-search.php`.

Nome do Software Vulnerável e Versões Afetadas: Sistema de Reserva de Assentos de Cinema Online Campcodes versão 1.0 Descrição: Existe uma falha crítica no Sistema de Reserva de Assentos de Cinema Online Campcodes versão 1.0. A função `save movie` no arquivo `/admin/admin class.php` está suscetível a upload de arquivos sem restrições devido à manipulação do argumento `cover`. Isso permite a exploração remota. O exploit foi divulgado publicamente. Recomendações: Corrija o problema de upload de arquivos sem restrições na função `save movie` do arquivo `/admin/admin class.php`, validando e sanitizando o argumento `cover`.

**Nome do Software Vulnerável e Versões Afetadas:** Campcodes Online Movie Theater Seat Reservation System versão 1.0 **Descrição:** Existe uma vulnerabilidade crítica no Campcodes Online Movie Theater Seat Reservation System 1.0. A manipulação do argumento `ID` no arquivo `/admin/manage theater.php` resulta em uma injeção de SQL. Isso permite ataques remotos. O exploit para esta vulnerabilidade foi divulgado publicamente. **Recomendações:** Campcodes Online Movie Theater Seat Reservation System versão 1.0: Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas:** Campcodes Online Movie Theater Seat Reservation System versão 1.0 **Descrição:** Existe uma vulnerabilidade crítica no Campcodes Online Movie Theater Seat Reservation System versão 1.0. A vulnerabilidade deve-se a uma injeção de SQL no arquivo `/admin/manage movie.php`, especificamente através da manipulação do parâmetro `ID`. Isso permite exploração remota. O exploit foi divulgado publicamente. **Recomendações:** Campcodes Online Movie Theater Seat Reservation System versão 1.0: Sanitize ou valide o parâmetro `ID` no arquivo `/admin/manage movie.php` para prevenir injeção de SQL. Como medida temporária, restrinja o acesso ao arquivo `/admin/manage movie.php`.

Nome do Software Vulnerável e Versões Afetadas: Campcodes Online Movie Theater Seat Reservation System versão 1.0 Descrição: Existe uma vulnerabilidade crítica no Campcodes Online Movie Theater Seat Reservation System 1.0. O problema está relacionado a uma injeção de SQL em uma funcionalidade desconhecida do arquivo `/reserve.php`. A manipulação do argumento `ID` pode levar à exploração remota. O exploit foi divulgado publicamente. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Campcodes Online Movie Theater Seat Reservation System versão 1.0 Descrição: Existe uma vulnerabilidade crítica no Campcodes Online Movie Theater Seat Reservation System 1.0. A vulnerabilidade deve-se a uma injeção de SQL em uma funcionalidade desconhecida do arquivo `/manage reserve.php` ao manipular o argumento `mid`. Isso permite ataques remotos. O exploit foi divulgado publicamente. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.