Nhattruong.Blog

**Nome do software vulnerável e versões afetadas: Sistema de Gerenciamento de Registros de Professores, versão 1.0 Descrição: A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários. Isso pode ser feito por meio do parâmetro GET `editid` nos arquivos “edit-subjects-detail.php” ou “edit-teacher-detail.php”, ou do parâmetro POST `searchdata` no arquivo “search.php”. Recomendações: Para o Sistema de Gerenciamento de Registros de Professores versão 1.0, considere desativar os parâmetros `editid` e `searchdata` nos arquivos afetados até que uma correção esteja disponível. Restrinja o acesso a “edit-subjects-detail.php”, “edit-teacher-detail.php” e “search.php” para minimizar o risco de exploração. Evite usar os parâmetros `editid` e `searchdata` nos respectivos pontos de extremidade da API até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Teachers Record Management System versão 1.0 Descrição: Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que usuários remotos autenticados injetem scripts da Web ou HTML arbitrários por meio do parâmetro `email` no endpoint “adminprofile.php”. Isso poderia levar à execução de ações maliciosas no sistema. Recomendações: Para o Sistema de Gerenciamento de Registros de Professores versão 1.0, considere restringir o acesso ao endpoint `adminprofile.php` até que uma correção esteja disponível e evite usar o parâmetro `email` nesse endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.