Sebastian Jeż

**Nome do Software Vulnerável e Versões Afetadas** Times Software E-Payroll (versões afetadas não especificadas) **Descrição** A aplicação não sanitiza adequadamente os dados recebidos nos parâmetros POST durante o processo de login, potencialmente permitindo que um atacante não autenticado execute ataques de Negação de Serviço (DoS). Embora ataques de injeção de SQL sejam possíveis, mecanismos de filtragem no backend podem atualmente impedir a exploração bem-sucedida. Tentativas de injeção de comandos resultam na aplicação exibindo mensagens de erro detalhadas que revelam informações sobre a infraestrutura interna. O fornecedor não respondeu a questionamentos sobre o status de correção. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do JDownloads de 1.0.0 a 4.0.47 **Descrição** O componente JDownloads para Joomla está suscetível a múltiplos ataques de Cross-Site Request Forgery (CSRF). Esses ataques podem permitir que um invasor execute ações em nome de um usuário autenticado sem seu conhecimento ou consentimento. **Recomendações** Atualize o JDownloads para uma versão superior à 4.0.47.

Nome do Software Vulnerável e Versões Afetadas: Quantum Manager versões 1.0.0 a 3.2.0 Descrição: Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado no componente Quantum Manager para Joomla. Os nomes de arquivos não são devidamente escapados, o que pode permitir a execução de código malicioso. Recomendações: Quantum Manager versões 1.0.0 a 3.2.0: Garantir o escape adequado dos nomes de arquivos para prevenir a injeção de scripts maliciosos.

Name of the Vulnerable Software and Affected Versions: Quantum Manager versions 1.0.0 through 3.2.0 Description: A stored cross-site scripting (XSS) issue was identified in the Quantum Manager component for Joomla. The SVG upload feature does not properly sanitize uploaded files, allowing for the injection of persistent scripts. Recommendations: Quantum Manager version 3.2.0 and earlier: Ensure all SVG uploads are properly sanitized to prevent the injection of malicious code.

Nome do Software Vulnerável e Versões Afetadas: Phoca Commander versões 1.0.0 até 4.0.0 Phoca Commander versões 5.0.0 até 5.0.1 Descrição: Existe uma vulnerabilidade de execução remota de código autenticada no Phoca Commander para Joomla. A vulnerabilidade permite a execução de código via o recurso de descompactação. Recomendações: Atualize o Phoca Commander para uma versão superior à 4.0.0. Atualize o Phoca Commander para uma versão superior à 5.0.1.

Name of the Vulnerable Software and Affected Versions: DJ-Classifieds versions 3.9.2 through 3.10.1 Description: A SQL injection issue exists in DJ-Classifieds, allowing privileged users to execute arbitrary SQL commands. Recommendations: Update DJ-Classifieds to a version newer than 3.10.1.

**Nome do Software Vulnerável e Versões Afetadas** No Boss Testimonials versões 1.0.0 até 3.0.0 No Boss Testimonials versões 4.0.0 até 4.0.2 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado no componente No Boss Testimonials. Isso permite que um atacante injete scripts maliciosos na aplicação, potencialmente comprometendo contas de usuário ou realizando ações não autorizadas. **Recomendações** Atualize o No Boss Testimonials para uma versão posterior a 3.0.0 e anterior a 4.0.0. Atualize o No Boss Testimonials para uma versão posterior a 4.0.2.

**Nome do Software Vulnerável e Versões Afetadas** Versões do CommentBox de 1.0.0 a 1.1.0 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado no componente CommentBox. Isso permite a injeção de scripts maliciosos na aplicação através do componente. **Recomendações** Atualize o CommentBox para uma versão posterior à 1.1.0.

**Nome do Software Vulnerável e Versões Afetadas** Componente CComment do Joomla versões 5.0.0 a 6.1.14 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no componente CComment. Isso permite que um atacante injete scripts maliciosos na aplicação, potencialmente comprometendo contas de usuário ou dados do site. **Recomendações** Atualize o componente CComment para uma versão posterior à 6.1.14.

**Nome do Software Vulnerável e Versões Afetadas** ProFiles versões 1.0 a 1.5.0 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no componente ProFiles. Isso permite a injeção de scripts maliciosos na aplicação, potencialmente comprometendo contas de usuário e dados. **Recomendações** Atualize o ProFiles para uma versão superior a 1.5.0.

**Nome do Software Vulnerável e Versões Afetadas** Versões do DJ-Reviews de 1.0 a 1.3.6 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido no componente DJ-Reviews para Joomla. Isso permite que um atacante injete scripts maliciosos em uma página da web visualizada por outros usuários. **Recomendações** Atualize o DJ-Reviews para uma versão superior à 1.3.6.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Komento de 4.0.0 a 4.0.7 **Descrição** Existe uma falha de injeção de SQL no componente Komento para Joomla. Este problema permite que usuários não privilegiados executem comandos SQL arbitrários. **Recomendações** Atualize o Komento para uma versão superior à 4.0.7.

**Name of the Vulnerable Software and Affected Versions** DJ-Flyer versions 1.0 through 3.2 **Description** A SQL injection issue exists in the DJ-Flyer component. The vulnerability allows privileged users to execute arbitrary SQL commands. **Recommendations** Update DJ-Flyer to a version later than 3.2.

**Nome do Software Vulnerável e Versões Afetadas** Eura7 CMSmanager versões 4.6 e inferiores **Descrição** A questão está relacionada a ataques de XSS Refletido, que podem ser acionados através da manipulação do parâmetro `return` da requisição GET enviado a um endpoint específico. **Recomendações** Para as versões 4.6 e inferiores do Eura7 CMSmanager, aplique o patch 17012022 para corrigir a vulnerabilidade. Como medida temporária, considere restringir o acesso ao endpoint vulnerável até que o patch seja aplicado. Evite utilizar o parâmetro `return` no endpoint afetado até que a questão seja resolvida.