Sergio Medeiros

**Nome do Software Vulnerável e Versões Afetadas** iNiLabs School Express (SMS Express) versão 6.2 **Descrição** O iNiLabs School Express (SMS Express) 6.2 é suscetível a uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado em seus recursos de gerenciamento de conteúdo, acessíveis a usuários administradores autenticados. A vulnerabilidade está presente em parâmetros submetidos via requisições POST ao endpoint `/posts/edit/{id}`, e em editores similares para Comunicados e Páginas. A sanitização de entrada e a codificação de saída insuficientes permitem que atacantes injetem payloads HTML/JS. Esses payloads são salvos e subsequentemente renderizados sem a sanitização adequada, levando à execução de JavaScript nos navegadores de outros usuários quando acessam o conteúdo afetado. Um atacante autenticado pode executar JavaScript arbitrário no contexto de outro usuário, potencialmente levando ao sequestro de sessão, escalonamento de privilégios, exfiltração de dados ou tomada de controle de conta administrativa. A aplicação carece de uma Política de Segurança de Conteúdo (CSP) restritiva ou mecanismos de filtragem adequados para prevenir esses ataques. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SummerNote versão 0.8.18 **Descrição** O problema está relacionado a Cross Site Scripting (XSS) por meio da função de visualização de código. Isso significa que um invasor poderia injetar scripts maliciosos na visualização de código do SummerNote, afetando os usuários que interagirem com o conteúdo comprometido. **Recomendações** Para a versão 0.8.18 do SummerNote, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** QDOCS Smart School versão 7.0.0 **Descrição** O problema está relacionado a Cross Site Scripting (XSS), o que resulta na execução de código arbitrário nas funções de administração, especificamente ao adicionar ou atualizar registros. Isso poderia permitir que um invasor executasse código malicioso no sistema. **Recomendações** Para o QDOCS Smart School versão 7.0.0, considere desativar as funções de administração relacionadas à adição ou atualização de registros até que uma correção esteja disponível. Restrinja o acesso a essas funções para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Rocketsoft Rocket LMS versão 1.9 **Descrição** Uma vulnerabilidade de script entre sites (XSS) permite que um administrador armazene um código JavaScript malicioso por meio da interface web de administração ao criar novos cursos e notificações de cursos, comprometendo potencialmente as sessões dos usuários. **Recomendações** Para o Rocketsoft Rocket LMS versão 1.9, aplique a correção imediatamente e valide as entradas do usuário para mitigar o risco de exploração. Como solução alternativa temporária, considere restringir o acesso à interface web de administração para a criação de novos cursos e notificações de cursos até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** PDFMyURL (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor remoto obtenha informações confidenciais e execute código arbitrário por meio de uma solicitação POST no parâmetro `url`. Isso está relacionado a uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF) no serviço PDFMyURL. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.