Oretnom23

**Nome do software vulnerável e versões afetadas** Sourcecodester Packers and Movers Management System versão 1.0 **Descrição** Uma vulnerabilidade de injeção de SQL permite que usuários remotos autenticados executem comandos SQL arbitrários por meio do parâmetro `id` no endpoint da API “/mpms/admin/?page=services/manage service&id”. **Recomendações** Para o Sourcecodester Packers and Movers Management System versão 1.0, considere restringir o acesso ao endpoint da API `/mpms/admin/?page=services/manage service&id` até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `id` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Name of the Vulnerable Software and Affected Versions** Service Provider Management System version 1.0 **Description** A Cross Site Scripting issue allows a remote attacker to execute arbitrary code and obtain sensitive information via the `firstname`, `middlename`, and `lastname` parameters in the "/php-spms/admin/?page=user" endpoint. **Recommendations** For Service Provider Management System version 1.0, consider disabling access to the "/php-spms/admin/?page=user" endpoint until a patch is available. As a temporary workaround, restrict the use of the `firstname`, `middlename`, and `lastname` parameters in this endpoint to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Sourcecodester Judging Management System version 1.0 **Description** The issue is related to SQL Injection, which can be exploited via the "/php-jms/print judges.php" API endpoint with specific parameters such as `se name` and `sub event id`. **Recommendations** For Sourcecodester Judging Management System version 1.0, as a temporary workaround, consider restricting access to the "/php-jms/print judges.php" API endpoint until a patch is available. Avoid using the parameters `se name` and `sub event id` in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Raffle Draw System version 1.0 **Description** The issue concerns multiple SQL injection vulnerabilities. These vulnerabilities are located at the "save winner.php" endpoint via the `ticket id` and `draw` parameters. **Recommendations** For Raffle Draw System version 1.0, consider disabling access to the "save winner.php" endpoint until a patch is available. Restrict the use of the `ticket id` and `draw` parameters in this endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Raffle Draw System version 1.0 **Description** The issue is related to a SQL injection vulnerability. This vulnerability can be exploited via the `id` parameter at the "save ticket.php" endpoint. **Recommendations** For Raffle Draw System version 1.0, consider restricting access to the "save ticket.php" endpoint to minimize the risk of exploitation. Avoid using the `id` parameter in the affected endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Raffle Draw System version 1.0 **Description** The issue is related to a SQL injection vulnerability. This vulnerability can be exploited via the `id` parameter at the "get ticket.php" endpoint. **Recommendations** For Raffle Draw System version 1.0, consider restricting access to the "get ticket.php" endpoint until a patch is available. As a temporary workaround, avoid using the `id` parameter in the affected endpoint to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Sistema de Reservas Ferroviárias Online, versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `id` no endpoint da API “/admin/inquiries/view details.php”. **Recomendações** Para o Sistema de Reservas Ferroviárias Online versão 1.0, como solução temporária, considere restringir o acesso ao endpoint da API “/admin/inquiries/view details.php” até que uma correção esteja disponível. Evite usar o parâmetro `id` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Site de fórum de discussão online 1 (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de injeção SQL cega. Essa vulnerabilidade está localizada no componente `/odfs/posts/view post.php`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sourcecodester The Electric Billing Management System versão 1.0 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio da página “Sobre”. Trata-se de uma vulnerabilidade de Cross Site Scripting (XSS), o que significa que invasores podem injetar scripts maliciosos no site, podendo levar a ações não autorizadas. **Recomendações** Para o Sourcecodester The Electric Billing Management System versão 1.0, considere restringir o acesso à página “Sobre” até que uma correção esteja disponível. Como solução temporária, evite usar a página “Sobre” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Sourcecodester Storage Unit Rental Management System, versão v1 **Descrição** A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio do parâmetro `username` no endpoint da API “/storage/classes/Login.php”. Isso possibilita o acesso não autorizado e a manipulação do conteúdo do banco de dados. **Recomendações** Para o Sistema de Gerenciamento de Aluguel de Unidades de Armazenamento Sourcecodester versão v1, considere restringir o acesso ao endpoint “/storage/classes/Login.php” até que uma correção esteja disponível e evite usar o parâmetro `username` neste endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** sourcecodester PHP CRUD sem atualização/recarregamento usando Ajax e DataTables Tutorial versão 1 **Descrição** A vulnerabilidade permite que invasores remotos executem código arbitrário por meio dos parâmetros `first name`, `last name` e `email` no endpoint da API “/ajax crud”. Isso possibilita a execução de código arbitrário, podendo levar a violações de segurança. **Recomendações** Para o sourcecodester PHP CRUD sem atualização/recarregamento usando Ajax e DataTables Tutorial versão 1, considere validar e sanitizar os parâmetros `first name`, `last name` e `email` para impedir entradas maliciosas. Como solução temporária, restrinja o acesso ao endpoint da API “/ajax crud” até que uma correção adequada seja aplicada.

**Nome do software vulnerável e versões afetadas** Sourcecodester Student Quarterly Grading System (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio dos parâmetros `fullname` e `username` no endpoint da API da “página de usuários”. Isso possibilita a execução de código arbitrário, podendo levar a violações de segurança. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sourcecodester Patient Appointment Scheduler System versão 1 **Descrição** A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio dos campos `username` e `password` no endpoint da API “login.php”. Isso possibilita o acesso não autorizado e a potencial manipulação de dados. **Recomendações** Para o Sourcecodester Patient Appointment Scheduler System versão 1, considere desativar a funcionalidade de login via “login.php” até que uma correção esteja disponível e restrinja o acesso aos campos `username` e `password` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sourcecodester Try My Recipe (site de compartilhamento de receitas - CMS) versão 1.0 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio do parâmetro `rid` na página “view recipe”. Isso possibilita que invasores realizem ataques de injeção de SQL, podendo levar a acesso não autorizado ou manipulação de dados. **Recomendações** Para a versão 1.0, considere restringir o acesso à página “view recipe” ou validar e sanitizar o parâmetro `rid` para prevenir ataques de injeção de SQL. Como solução temporária, evite usar o parâmetro `rid` na página afetada até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Sourcecodester Try My Recipe (site de compartilhamento de receitas - CMS) (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que invasores obtenham o PHPSESID ou causem outros impactos não especificados por meio do parâmetro `fullname` na página “login registration”. Trata-se de uma vulnerabilidade de Cross Site Scripting (XSS). **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sourcecodester Online Payment Hub versão 1 **Descrição** A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio do parâmetro `username` no arquivo Login.php. Isso possibilita o acesso não autorizado e a manipulação do conteúdo do banco de dados. **Recomendações** Para o Sourcecodester Online Payment Hub versão 1, considere restringir o acesso ao arquivo Login.php até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `username` na funcionalidade de login afetada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Sourcecodester Budget and Expense Tracker System, versão v1 **Descrição** A vulnerabilidade permite que invasores executem comandos SQL arbitrários por meio do campo `username`, o que pode levar ao acesso ou à modificação não autorizada de dados. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para o Sourcecodester Budget and Expense Tracker System versão v1, considere restringir o acesso ao campo `username` para minimizar o risco de exploração até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sourcecodester Online Learning System versão 2.0 **Descrição** O problema diz respeito à contornamento da autenticação por injeção de SQL no arquivo de login de administrador (`/admin/login.php`) e ao upload de arquivos por usuários autenticados no arquivo (`Master.php`). Essas vulnerabilidades podem ser exploradas para permitir a execução remota de comandos sem autenticação. **Recomendações** Para o Sistema de Aprendizagem Online Sourcecodester versão 2.0, considere desativar os arquivos `/admin/login.php` e `Master.php` até que um patch esteja disponível para impedir a exploração de injeção de SQL e upload de arquivos. Restrinja o acesso a esses arquivos para minimizar o risco de execução remota de comandos sem autenticação.

**Nome do software vulnerável e versões afetadas** O Simple Payroll System com faixa tributária dinâmica em PHP utilizando SQLite (versões afetadas não especificadas) **Descrição** A vulnerabilidade diz respeito a uma falha de autenticação por injeção remota de SQL na conta de administrador. O parâmetro `username` do formulário de login não está devidamente protegido, permitindo que cargas maliciosas contornem as medidas de segurança. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: FlatCore-CMS versão 2.0.7 Descrição: Existe uma vulnerabilidade de Cross Site Scripting (XSS) na função de upload de imagens, permitindo uma possível exploração. Recomendações: Para o FlatCore-CMS versão 2.0.7, considere desativar a função de upload de imagens como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso à funcionalidade de upload para minimizar o risco de exploração.