Saud Alenazi

**Nome do Software Vulnerável e Versões Afetadas** Moodle LMS versão 4.0 **Descrição** Um problema permite que atacantes não autenticados injetem scripts maliciosos ao enviar cargas úteis por meio do parâmetro de pesquisa. Especificamente, código JavaScript pode ser injetado via campo de pesquisa no endpoint 'course/search.php' para executar scripts arbitrários nos navegadores dos usuários e roubar cookies de sessão. Trata-se de uma falha de cross-site scripting (XSS), que ocorre quando uma aplicação inclui dados não confiáveis em uma página web sem a devida validação ou escape. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** OpenCart Core version 4.0.2.3 **Description** The software contains a SQL injection flaw that allows unauthenticated attackers to manipulate database queries. Attackers can inject SQL code through the `search` parameter. This is achieved by sending GET requests to the product search endpoint with malicious `search` values, enabling the extraction of sensitive database information using boolean-based blind or time-based blind SQL injection techniques. The API endpoint involved is the product search endpoint. **Recommendations** Apply a fix for OpenCart Core version 4.0.2.3.

**Name of the Vulnerable Software and Affected Versions** Private Internet Access versão 3.3 **Description** Um caminho de serviço não delimitado por aspas permite que usuários locais potencialmente executem código arbitrário com privilégios de sistema elevados. Atacantes podem explorar o caminho não delimitado na configuração do serviço para injetar código malicioso que é executado com permissões de LocalSystem durante a inicialização do serviço. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.