Stavros Mekesis

**Nome do software vulnerável e versões afetadas** Versões do UniverSIS-Students anteriores à 1.5.0 **Descrição** A vulnerabilidade permite que invasores obtenham informações confidenciais por meio de uma solicitação GET maliciosa enviada ao endpoint “/api/students/me/courses/”. **Recomendações** Para versões anteriores à 1.5.0, atualize para a versão 1.5.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/api/students/me/courses/” até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do UniverSIS-API até a 1.2.1 **Descrição** Existe uma vulnerabilidade de injeção de SQL que permite que um invasor remoto autenticado envie instruções SQL maliciosas para pontos de extremidade da API vulneráveis, como `/api/students/me/messages/`, por meio do parâmetro `select`. Isso poderia levar à obtenção de informações pessoais ou à alteração de notas. **Recomendações** Para as versões do UniverSIS-API até a 1.2.1, considere restringir o acesso aos pontos de extremidade da API vulneráveis, como `/api/students/me/messages/`, até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `select` nos pontos de extremidade da API afetados para minimizar o risco de exploração.