Ngo Van Tu

**Nome do software vulnerável e versões afetadas** Dynamics 365 Customer Insights (versões afetadas não especificadas) **Descrição** O problema está relacionado à falha na proteção adequada da estrutura da página da web no Microsoft Dynamics 365 Customer Insights, permitindo que um invasor remoto realize ataques de falsificação de identidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Dynamics 365 Field Service (versões afetadas não especificadas) **Descrição** O problema diz respeito a uma vulnerabilidade de falsificação de identidade. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo, nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft Dynamics 365 (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na representação de informações pela interface do usuário, que podem ser explorados por um invasor remoto para realizar ataques de spoofing. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Microsoft Dynamics 365 Sales (affected versions not specified) **Description** The issue is related to errors in the representation of information by the user interface of the Microsoft Dynamics 365 server. It may allow a remote attacker to conduct cross-site scripting attacks. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** AI ChatBot WordPress plugin versions prior to 4.6.1 **Description** The issue allows high-privilege users, such as admins, to perform Cross-Site Scripting attacks. This is possible because the plugin does not adequately escape some settings, even when the unfiltered html capability is disallowed. **Recommendations** For AI ChatBot WordPress plugin versions prior to 4.6.1, update to version 4.6.1 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Book Store Management System version 1.0 **Description** The issue is related to a cross-site scripting (XSS) vulnerability. This vulnerability is located in the `/bsms ci/index.php/book` endpoint and allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the `publisher` parameter. **Recommendations** For Book Store Management System version 1.0, consider disabling access to the `/bsms ci/index.php/book` endpoint until a patch is available. As a temporary workaround, restrict the use of the `publisher` parameter in this endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Recursos Humanos SourceCodester, versão 1.0 **Descrição** Foi detectada uma falha de segurança que afeta uma função desconhecida do arquivo /hrm/employeeview.php. A manipulação do argumento `search` leva a um ataque de cross-site scripting. Essa falha pode ser explorada remotamente. **Recomendações** Para a versão 1.0, considere desativar o argumento `search` no arquivo /hrm/employeeview.php como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo /hrm/employeeview.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Recursos Humanos SourceCodester versão 1.0 Sistema de Gestão de Livrarias SourceCodester versão 1.0 **Descrição** Uma falha crítica afeta o processamento do arquivo /hrm/employeeadd.php, onde a manipulação do argumento `empid` leva a uma injeção de SQL. O ataque pode ser iniciado remotamente. **Recomendações** Para o Sistema de Gestão de Recursos Humanos SourceCodester versão 1.0, considere desativar o arquivo /hrm/employeeadd.php até que uma correção esteja disponível. Para o Sistema de Gestão de Livrarias SourceCodester versão 1.0, restrinja o acesso ao arquivo /hrm/employeeadd.php para minimizar o risco de exploração. Evite usar o argumento `empid` no arquivo afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Recursos Humanos SourceCodester, versão 1.0 **Descrição** Foi encontrada uma falha crítica no componente Content-Type Handler, afetando especificamente o arquivo /hrm/controller/employee.php. A manipulação do argumento `pfimg` leva ao upload irrestrito. Essa falha pode ser explorada remotamente. **Recomendações** Para o Sistema de Gestão de Recursos Humanos SourceCodester versão 1.0, considere desativar a funcionalidade de upload de arquivos no arquivo /hrm/controller/employee.php até que um patch esteja disponível. Restrinja o acesso ao componente Content-Type Handler para minimizar o risco de exploração. Evite usar o argumento `pfimg` no endpoint da API afetado até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de gerenciamento de livrarias SourceCodester, versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade problemática no Sistema de Gerenciamento de Livrarias SourceCodester. Esta falha afeta uma parte desconhecida do arquivo `/bsms ci/index.php/user/edit user/` e permite a divulgação de informações por meio da manipulação do argumento `password`. O ataque pode ser iniciado remotamente. **Recomendações** Para o Sistema de Gerenciamento de Livrarias SourceCodester versão 1.0, considere desativar o endpoint `/bsms ci/index.php/user/edit user/` até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao argumento `password` no endpoint afetado para minimizar o risco de divulgação de informações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Tribal Systems Zenario CMS versão 9.3.57595 **Descrição** A vulnerabilidade afeta o componente Remember Me Handler, levando à fixação de sessão. Ela pode ser explorada remotamente, e a exploração já foi divulgada. O ataque pode ser iniciado por um invasor que configure uma sessão-armadilha no dispositivo em que a vítima provavelmente fará login, aproveitando-se do fato de que o identificador da sessão do usuário não é alterado após o logout e o novo login quando a opção “Lembrar-me” está ativa. **Recomendações** Para a versão 9.3.57595, considere desativar a opção “Lembrar-me” como uma solução temporária para minimizar o risco de fixação de sessão até que um patch esteja disponível. Restrinja o acesso ao componente Remember Me Handler para evitar possíveis explorações.

**Nome do software vulnerável e versões afetadas** Sistema de Gerenciamento de Livrarias SourceCodester, versão 1.0 **Descrição** Foi identificada uma vulnerabilidade crítica no Sistema de Gerenciamento de Livrarias SourceCodester, afetando código não identificado do arquivo /bsms ci/index.php. Esse problema resulta em falhas nos controles de acesso e pode ser explorado remotamente. A exploração já foi divulgada ao público. **Recomendações** Como solução temporária, considere restringir o acesso ao arquivo /bsms ci/index.php até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.