Sourajeet Majumder

**Nome do software vulnerável e versões afetadas** Netangular Technologies ChatNet AI versão v1.0 **Descrição** Uma falha de injeção de prompt na caixa de bate-papo permite que invasores acessem e exfiltrem todos os dados de bate-papo anteriores e posteriores entre o usuário e o assistente de IA por meio de uma mensagem maliciosa. **Recomendações** Para o Netangular Technologies ChatNet AI versão v1.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Fusion Chat Chat AI Assistant Ask Me Anything versão 1.2.4.0 **Descrição** Uma falha de injeção de prompt na janela de bate-papo permite que invasores acessem e extraiam todos os dados de bate-papo anteriores e posteriores entre o usuário e o assistente de IA por meio de uma mensagem maliciosa. **Recomendações** Para a versão 1.2.4.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Blackbox AI versão 1.3.95 **Descrição** Uma falha de injeção de prompt na caixa de bate-papo permite que invasores acessem e exfiltrem todos os dados de bate-papo anteriores e posteriores entre o usuário e o assistente de IA por meio de uma mensagem maliciosa. **Recomendações** Para a versão 1.3.95 do Blackbox AI, como solução temporária, considere restringir o acesso à caixa de bate-papo até que uma correção esteja disponível. Evite usar a caixa de bate-papo com informações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Butterfly Effect Limited Monica Your AI Copilot com tecnologia ChatGPT4, versão 6.3.0 **Descrição** Uma falha de injeção de prompt na caixa de bate-papo permite que invasores acessem e extraiam todos os dados de bate-papo anteriores e posteriores entre o usuário e o assistente de IA por meio de uma mensagem maliciosa. **Recomendações** Para a versão 6.3.0, como solução temporária, considere restringir o acesso à caixa de bate-papo até que um patch esteja disponível. Evite usar a caixa de bate-papo com informações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zhipu AI CodeGeeX versão 2.17.0 **Descrição** Uma falha de injeção de prompt na caixa de bate-papo permite que invasores acessem e exfiltrem todos os dados de bate-papo anteriores e posteriores entre o usuário e o assistente de IA por meio de uma mensagem maliciosa. **Recomendações** Para o Zhipu AI CodeGeeX versão 2.17.0, considere desativar a funcionalidade da caixa de bate-papo até que uma correção esteja disponível para evitar uma possível exfiltração de dados.

**Nome do software vulnerável e versões afetadas** Butterfly Effect Limited Monica ChatGPT AI Assistant versão 2.4.0 **Descrição** Uma falha de injeção de prompt na caixa de bate-papo permite que invasores acessem e exfiltrem todos os dados de bate-papo anteriores e posteriores entre o usuário e o assistente de IA por meio de uma mensagem maliciosa. **Recomendações** Para a versão 2.4.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Digitory Multi Channel Integrated POS versão 1.0 **Descrição** O problema está relacionado à falta de limitação de taxa no componente de validação de OTP, o que permite que invasores obtenham acesso ao sistema de pedidos. Isso pode levar à realização de um número excessivo de pedidos de comida. **Recomendações** Para o Digitory Multi Channel Integrated POS versão 1.0, considere implementar limitação de taxa no componente de validação de OTP para impedir o acesso excessivo ao sistema de pedidos.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Banco de Sangue e Doações, versão 1.0 **Descrição** Existe uma vulnerabilidade de Cross Site Scripting (XSS) no arquivo `update contact.php`, permitindo que um invasor injete scripts maliciosos por meio do parâmetro `name` do endpoint “update contact.php”. **Recomendações** Para o Sistema de Gestão de Banco de Sangue e Doações versão 1.0, considere restringir o acesso ao endpoint `update contact.php` até que uma correção esteja disponível e evite usar o parâmetro `name` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de votação online Projectworld, versão 1.0 **Descrição** A vulnerabilidade permite que um invasor crie um link malicioso que, quando clicado por um usuário autenticado, envia automaticamente um voto para um partido específico sem o consentimento ou conhecimento do usuário. Isso é feito por meio da página `voter.php`, aproveitando a sessão ativa do usuário para realizar a ação não autorizada, comprometendo a integridade do processo de votação. **Recomendações** Para o Sistema de Votação Online Projectworld versão 1.0, como solução temporária, considere desativar a página `voter.php` até que um patch esteja disponível. Restrinja o acesso à página `voter.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Aplicativo para desktop Monica AI Assistant, versão 2.3.0 **Descrição** A vulnerabilidade permite que um invasor modifique a resposta do chatbot com uma imagem não carregada, o que pode exfiltrar os dados confidenciais do chat do usuário da sessão atual para um servidor malicioso de terceiros ou controlado pelo invasor por meio de uma injeção de prompt. Isso possibilita a exposição de informações confidenciais a agentes não autorizados. **Recomendações** Para o aplicativo de desktop Monica AI Assistant versão 2.3.0, como solução temporária, considere desativar o uso de imagens nas respostas do chatbot até que uma correção esteja disponível. Restrinja o acesso a dados confidenciais do chat para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Votação Online Projectworld versão 1.0 **Descrição** Foi identificada uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada que ocorre quando uma conta é registrada com um código JavaScript malicioso. Esse código é armazenado e, posteriormente, executado nas páginas `voter.php` e `profile.php` sempre que as informações da conta são acessadas. **Recomendações** Para o Sistema de Votação Online Projectworld versão 1.0, considere desativar o registro de novas contas até que um patch esteja disponível para impedir a exploração da vulnerabilidade XSS armazenada. Restrinja o acesso às páginas `voter.php` e `profile.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Lines Police CAD versão 1.0 **Descrição** Uma falha de injeção no cabeçalho do host permite que invasores obtenham o token de redefinição de senha por meio da interação do usuário com um link de redefinição de senha malicioso, possibilitando que eles redefinam arbitrariamente as senhas de outros usuários e comprometam suas contas. **Recomendações** Para o Lines Police CAD versão 1.0, considere desativar a funcionalidade de redefinição de senha até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção de cabeçalho de host. Restrinja o acesso ao link de redefinição de senha para minimizar o risco de invasores obterem o token de redefinição de senha. Evite usar links de redefinição de senha criados para fins maliciosos, a fim de impedir a interação do usuário que possa levar ao comprometimento da conta.

**Nome do software vulnerável e versões afetadas** MEANStore versão 1.0 **Descrição** Uma vulnerabilidade de injeção de cabeçalho de host permite que invasores obtenham o token de redefinição de senha por meio da interação do usuário com um link de redefinição de senha malicioso, possibilitando que eles redefinam as senhas de outros usuários e comprometam suas contas. **Recomendações** Para o MEANStore versão 1.0, como solução temporária, considere restringir a interação do usuário com links de redefinição de senha até que um patch esteja disponível. Além disso, evite usar links criados especificamente para explorar a vulnerabilidade de injeção de cabeçalho de host. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** BookReviewLibrary versão 1.0 **Descrição** Uma vulnerabilidade de injeção no cabeçalho do host permite que invasores obtenham o token de redefinição de senha por meio da interação do usuário com um link de redefinição de senha malicioso. Isso é feito através da manipulação do cabeçalho do host, o que pode levar ao acesso não autorizado a informações confidenciais. **Recomendações** Para o BookReviewLibrary versão 1.0, considere desativar a funcionalidade de redefinição de senha até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção no cabeçalho do host. Restrinja o acesso a links de redefinição de senha para minimizar o risco de invasores criarem links maliciosos. Evite usar mecanismos de redefinição de senha baseados na interação do usuário na versão afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** scheduleR versão 0.0.18 **Descrição** Uma vulnerabilidade de injeção de cabeçalho de host permite que invasores obtenham o token de redefinição de senha por meio da interação do usuário com um link de redefinição de senha malicioso. Isso permite que invasores redefinam arbitrariamente as senhas de outros usuários e comprometam suas contas. **Recomendações** Para a versão 0.0.18 do scheduleR, considere desativar a funcionalidade de redefinição de senha até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção de cabeçalho de host. Restrinja o acesso ao link de redefinição de senha para minimizar o risco de comprometimento de contas.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão Hospitalar do kishan0725, versão 6.3.5 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), permitindo que um invasor crie um formulário HTML malicioso que envie uma solicitação para excluir o registro de um médico. Ao induzir um usuário administrador autenticado a visitar a página da web especialmente criada, o invasor pode usar o navegador da vítima para fazer solicitações não autorizadas ao endpoint vulnerável, permitindo efetivamente que o invasor execute ações em nome do administrador sem o seu consentimento. **Recomendações** Para a versão 6.3.5, considere implementar mecanismos adequados de proteção contra CSRF, como validação baseada em token, para impedir solicitações não autorizadas. Como solução alternativa temporária, restrinja o acesso à funcionalidade de exclusão de registros de médicos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Banco de Sangue e Doações, versão 1.0 **Descrição** Uma vulnerabilidade de Cross Site Scripting (XSS) no arquivo `add donor.php` permite que um invasor injete scripts maliciosos que serão executados quando a Lista de Doadores for visualizada. Isso permite que o invasor possa roubar dados do usuário ou assumir o controle das sessões dos usuários. **Recomendações** Para o Sistema de Gestão de Banco de Sangue e Doações versão 1.0, considere desativar o arquivo `add donor.php` ou restringir o acesso a ele até que uma correção esteja disponível para impedir a exploração da vulnerabilidade XSS. Além disso, evite usar o recurso Lista de Doadores na versão afetada para minimizar o risco de injeção de scripts maliciosos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ArrowCMS versão 1.0.0 **Descrição** Existe uma vulnerabilidade de injeção de cabeçalho de host na funcionalidade de recuperação de senha. Ao enviar um cabeçalho de host especialmente criado na solicitação de recuperação de senha, é possível enviar links de redefinição de senha aos usuários que, uma vez clicados, redirecionam para um servidor controlado pelo invasor e, assim, vazam o token de redefinição de senha. Isso pode permitir que um invasor redefina as senhas de outros usuários. **Recomendações** Como solução temporária, considere desativar a funcionalidade de recuperação de senha até que um patch esteja disponível. Restrinja o acesso ao recurso de recuperação de senha para minimizar o risco de exploração. Evite usar o recurso de recuperação de senha no ArrowCMS versão 1.0.0 até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Avaliação de Funcionários, versão 1.0 **Descrição** Uma vulnerabilidade de injeção de cabeçalho de host no Sistema de Avaliação de Funcionários permite que invasores obtenham o token de redefinição de senha por meio da interação do usuário com um link de redefinição de senha malicioso. Isso permite que invasores redefinam arbitrariamente as senhas de outros usuários e comprometam suas contas. **Recomendações** Para o Sistema de Avaliação de Funcionários versão 1.0, como solução temporária, considere restringir o acesso à funcionalidade de redefinição de senha até que um patch esteja disponível. Evite usar links de redefinição de senha criados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.