Sp1D3R

**Name of the Vulnerable Software and Affected Versions** MrNanko webp4j versions up to 1.3.x **Description** A flaw exists in the DecodeGifFromMemory function within the src/main/c/gif decoder.c file of MrNanko webp4j. Manipulation of the `canvas height` argument can lead to an integer overflow. Local access is needed for exploitation. The exploit is publicly available. **Recommendations** Implement the patch 89771b201c66d15d29e4cc016d8aae82b6a5fbe1 to correct this issue.

Nome do Software Vulnerável e Versões Afetadas: itsourcecode Agri-Trading Online Shopping System versão 1.0 Descrição: Foi descoberto um problema crítico no itsourcecode Agri-Trading Online Shopping System. O problema afeta uma função desconhecida dentro do arquivo /admin/suppliercontroller.php. A manipulação do argumento `supplier` resulta em Injeção de SQL. Este problema pode ser explorado remotamente. Recomendações: Para a versão 1.0, considere desativar a função desconhecida no arquivo /admin/suppliercontroller.php até que um patch esteja disponível. Restrinja o acesso ao arquivo /admin/suppliercontroller.php para minimizar o risco de exploração. Evite usar o argumento `supplier` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: itsourcecode Employee Management System versão 1.0 Descrição: Uma falha crítica foi identificada, afetando uma parte desconhecida do arquivo /admin/editempprofile.php. A manipulação do argumento `FirstName` leva à Injeção de SQL. É possível iniciar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. Recomendações: Para o itsourcecode Employee Management System versão 1.0, considere restringir o acesso ao arquivo /admin/editempprofile.php e evitar o uso do parâmetro `FirstName` até que um patch esteja disponível. Como solução temporária, restrinja o uso do argumento `FirstName` no arquivo afetado para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Campcodes Online Recruitment Management System versão 1.0 Descrição: Um problema crítico afeta o processamento do arquivo Recruitment/admin/view application.php, onde a manipulação do argumento `ID` leva à injeção de SQL. O ataque pode ser iniciado remotamente. Recomendações: Para o Campcodes Online Recruitment Management System versão 1.0, considere restringir o acesso ao arquivo Recruitment/admin/view application.php até que um patch esteja disponível. Como medida temporária, evite utilizar o argumento `ID` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Campcodes Online Recruitment Management System versão 1.0 Descrição: Um problema crítico foi encontrado no sistema, afetando uma funcionalidade desconhecida do arquivo /admin/ajax.php?action=save settings, especificamente o componente About Content Page. A manipulação do argumento `img` resulta em upload irrestrito. Este problema pode ser explorado remotamente. Recomendações: Para o Campcodes Online Recruitment Management System versão 1.0, como uma solução temporária, considere restringir o acesso ao endpoint `/admin/ajax.php?action=save settings` para minimizar o risco de exploração. Evite usar o argumento `img` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do horilla até a 1.2.1 **Descrição** Foi encontrada uma vulnerabilidade crítica no horilla, afetando a função `request new/get employee shift/create reimbursement/key result current value update/create meetings/create skills`. A manipulação leva à deserialização. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para versões até 1.2.1, como solução temporária, considere desativar a função `request new/get employee shift/create reimbursement/key result current value update/create meetings/create skills` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** welliamcao OpsManage, versões 3.0.1 a 3.0.5 **Descrição** Um problema crítico afeta a função `deploy host vars` do arquivo `/apps/api/views/deploy api.py` no componente API Endpoint. Esse problema leva à deserialização e pode ser iniciado remotamente. A exploração já foi divulgada publicamente. **Recomendações** Para as versões 3.0.1 a 3.0.5 do welliamcao OpsManage, considere desativar a função `deploy host vars` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao arquivo `/apps/api/views/deploy api.py` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.