Srivishnu

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Estoque Multiloja Bdtask até 20240325 **Descrição** Foi encontrada uma vulnerabilidade no Sistema de Gerenciamento de Estoque Multilojas Bdtask, afetando uma função desconhecida do arquivo /stockmovment/stockmovment/delete/ do componente Página de Movimentação de Estoque. Esta falha leva à falsificação de solicitação entre sites e pode ser explorada remotamente. A exploração já foi divulgada ao público. **Recomendações** Para o Sistema de Gerenciamento de Estoque Multilojas Bdtask até 20240325, considere desativar o acesso ao endpoint /stockmovment/stockmovment/delete/ como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à Página de Movimentação de Estoque para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de gerenciamento de estoque para várias lojas Bdtask, versões até 20240320 **Descrição** Foi identificada uma vulnerabilidade no sistema, afetando uma funcionalidade desconhecida. A manipulação dos argumentos `Category Name`, `Model Name`, `Brand Name` ou `Unit Name` leva a um ataque de cross-site scripting. O ataque pode ser executado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para versões até 20240320, como solução temporária, considere restringir o uso dos argumentos `Nome da Categoria`, `Nome do Modelo`, `Nome da Marca` e `Nome da Unidade` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Estoque Multilojas Bdtask, versões até 20240320 **Descrição** Foi encontrada uma falha no componente Página de Atualização da Loja do Sistema de Gerenciamento de Estoque Multiloja Bdtask. A manipulação dos argumentos `Nome da Loja` e `Endereço da Loja` leva a um ataque de cross-site scripting. Essa falha pode ser explorada remotamente. A exploração foi divulgada ao público. O fornecedor foi contatado sobre essa falha, mas não respondeu. **Recomendações** Para versões até 20240320, como solução temporária, considere restringir o acesso à Página de Atualização da Loja até que um patch esteja disponível. Evite usar os argumentos `Nome da Loja` e `Endereço da Loja` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de gerenciamento de estoque para várias lojas Bdtask, versões até 20240320 **Descrição** Foi identificada uma vulnerabilidade no componente Page Title Handler do sistema, que pode levar a um ataque de cross-site scripting. A exploração pode ser realizada remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para versões até 20240320, como solução temporária, considere restringir o acesso ao componente Page Title Handler até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de gerenciamento de estoque de atacado Bdtask, versões até 20240311 **Descrição** Foi identificada uma vulnerabilidade no sistema, afetando uma funcionalidade desconhecida, que leva à fixação de sessão. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar sendo utilizada. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para versões até 20240311, como solução temporária, considere implementar medidas de segurança adicionais para prevenir ataques de fixação de sessão, como a regeneração de IDs de sessão após um login bem-sucedido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin WP Crowdfunding para versões do WordPress até a 2.1.12, inclusive **Descrição** O problema está relacionado à falta de uma verificação de permissão na ação da função `install woocommerce plugin()`, permitindo que invasores autenticados com acesso de nível de Assinante ou superior instalem o WooCommerce. Isso tem um impacto limitado na maioria dos sites, pois o WooCommerce é um requisito. **Recomendações** Para o plugin WP Crowdfunding para versões do WordPress até a 2.1.12, inclusive, atualize para uma versão superior à 2.1.12 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função `install woocommerce plugin()` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Bdtask Hospital AutoManager até 20240227 **Descrição** Foi encontrada uma vulnerabilidade no componente Update Bill Page, afetando especificamente código desconhecido do arquivo /billing/bill/edit/. A manipulação leva à falsificação de solicitação entre sites (CSRF). O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o Bdtask Hospital AutoManager até 20240227, considere restringir o acesso ao endpoint /billing/bill/edit/ até que uma correção esteja disponível. Como solução temporária, evite usar o componente Update Bill Page para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Bdtask G-Prescription Gynaecology & OBS Consultation Software versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no componente Password Reset Handler, afetando especificamente alguma funcionalidade desconhecida do arquivo /Setting/change password save. Essa falha leva à falsificação de solicitação entre sites (CSRF) e pode ser explorada remotamente. A exploração já foi divulgada ao público. **Recomendações** Para o Software de Consulta Ginecológica e Obstétrica Bdtask G-Prescription versão 1.0, considere desativar o componente Password Reset Handler até que uma correção esteja disponível. Restrinja o acesso ao endpoint `/Setting/change password save` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Bdtask G-Prescription Gynaecology & OBS Consultation Software versão 1.0 **Descrição** Foi detectada uma falha no software que afeta o processamento do arquivo /Home/Index do componente Prescription Dashboard. A manipulação do argumento `Title` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A vulnerabilidade foi divulgada publicamente e pode estar sendo explorada. **Recomendações** Para o Software de Consulta Ginecológica e Obstétrica Bdtask G-Prescription versão 1.0, como solução temporária, considere restringir o acesso ao arquivo /Home/Index do componente Prescription Dashboard para minimizar o risco de exploração. Evite usar o argumento `Title` no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Bdtask G-Prescription Gynaecology & OBS Consultation Software versão 1.0 **Descrição** Foi detectada uma falha no software, afetando uma função desconhecida do componente OBS Patient/Gynee Prescription. A manipulação do argumento `Título do Paciente/Nome Completo/Endereço/Queixa Principal/Última Menstruação/Data Prevista do Parto/OBS P/OBS Alc/Nome do Medicamento/Tipo de Medicamento/ml/Dose/Dias/Comentários/Nome do Modelo` leva a um ataque de cross-site scripting. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Bdtask G-Prescription Gynaecology & OBS Consultation Software versão 1.0 **Descrição** Foi identificada uma vulnerabilidade no software, classificada como problemática. Ela afeta uma funcionalidade desconhecida do arquivo /Venue controller/edit venue/ do componente Página de Edição do Local. A manipulação do argumento `Venue map` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. **Recomendações** Para o Bdtask G-Prescription Gynaecology & OBS Consultation Software versão 1.0, considere restringir o acesso à página Edit Venue Page, especificamente ao arquivo /Venue controller/edit venue/, para minimizar o risco de exploração. Como solução temporária, evite usar o argumento `Venue map` no componente afetado até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Bdtask Hospita AutoManager até 20240223 **Descrição** Foi detectado um problema no componente Página de Atividades Hospitalares, afetando o processamento do arquivo /hospital activities/birth/form. A vulnerabilidade está relacionada à manipulação do argumento `Description` com entradas específicas, como `<img src=a onerror=alert(1)>`, o que leva a um ataque de Cross-Site Scripting. O ataque pode ser iniciado remotamente. A exploração já foi divulgada publicamente e pode estar em uso. **Recomendações** Para versões do Bdtask Hospita AutoManager até 20240223, considere desativar o argumento `Description` no arquivo /hospital activities/birth/form para minimizar o risco de exploração até que um patch esteja disponível. Restrinja o acesso ao componente Página de Atividades Hospitalares para reduzir o risco de ataques remotos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Bdtask Hospita AutoManager até 20240223 **Descrição** Foi encontrada uma vulnerabilidade no componente Investigation Report Handler, afetando código desconhecido do arquivo “/investigation/delete/”. Esse problema leva à falsificação de solicitação entre sites (CSRF) e pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado sobre essa divulgação, mas não respondeu. **Recomendações** Para o Bdtask Hospita AutoManager até 20240223, considere desativar o acesso ao arquivo “/investigation/delete/” como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao componente Investigation Report Handler para minimizar o risco de exploração. Evite usar o componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Bdtask Isshue Multi Store eCommerce Shopping Cart Solution versão 4.0 **Descrição** Foi detectada uma falha no componente “Manage Sale Page”, afetando especificamente o arquivo /dashboard/Cinvoice/manage invoice. A manipulação do argumento `Title` leva a um ataque de cross-site scripting. Essa falha pode ser explorada remotamente. **Recomendações** Para a Bdtask Isshue Multi Store eCommerce Shopping Cart Solution versão 4.0, considere restringir o acesso ao componente Manage Sale Page até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o argumento `Title` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Bdtask Bhojon Best Restaurant Management Software versão 2.9 **Descrição** Foi encontrada uma falha no software que afeta o processamento do arquivo /dashboard/message do componente Message Page. A manipulação do argumento `Title` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A vulnerabilidade foi divulgada publicamente e pode estar sendo explorada. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma. **Recomendações** Para a versão 2.9, considere desativar a manipulação do argumento `Title` no arquivo /dashboard/message do componente Página de Mensagens até que um patch esteja disponível. Restrinja o acesso à Página de Mensagens para minimizar o risco de exploração. Evite usar o argumento `Title` no componente afetado até que o problema seja resolvido.