Subhash Paudel

**Name of the Vulnerable Software and Affected Versions** Order Up Online Ordering System version 1.0 **Description** A SQL Injection flaw exists in the `/api/integrations/getintegrations` API endpoint of Order Up Online Ordering System 1.0. An unauthenticated attacker can exploit this issue by sending a crafted POST request containing malicious SQL code through the `store id` parameter. Successful exploitation allows unauthorized access to sensitive backend database data. **Recommendations** Order Up Online Ordering System version 1.0: Sanitize or validate the `store id` parameter in the `/api/integrations/getintegrations` endpoint to prevent SQL injection attacks.

Name of the Vulnerable Software and Affected Versions: CodeAstro Simple Hospital Management System version 1.0 Description: A problematic issue was found in the CodeAstro Simple Hospital Management System, affecting an unknown functionality of the file /doctor.html, specifically the POST Parameter Handler component. The manipulation of the `First Name`, `Last Name`, or `Address` arguments leads to cross-site scripting. This issue can be exploited remotely. Recommendations: For CodeAstro Simple Hospital Management System version 1.0, as a temporary workaround, consider restricting access to the /doctor.html file until a patch is available. Avoid using the `First Name`, `Last Name`, or `Address` parameters in the affected POST Parameter Handler component until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas: PHPGurukul Online Notes Sharing System versão 1.0 Descrição: Foi identificada uma vulnerabilidade crítica no PHPGurukul Online Notes Sharing System, afetando uma parte desconhecida do arquivo /Dashboard do componente Cookie Handler. A manipulação do argumento `sessionid` resulta em injeção de SQL. É possível iniciar o ataque remotamente. A vulnerabilidade pode ser explorada e o payload de ataque fornecido parece ser característico de um ataque de injeção de SQL. Recomendações: Para o PHPGurukul Online Notes Sharing System versão 1.0, como medida paliativa temporária, considere restringir o acesso ao arquivo /Dashboard até que um patch esteja disponível. Evite utilizar o argumento `sessionid` no componente afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: CodeAstro Online Movie Ticket Booking System versão 1.0 Descrição: Foi descoberto um problema, afetando uma parte desconhecida do sistema, o que leva à falsificação de solicitação entre sites (cross-site request forgery). O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente. Recomendações: Para o CodeAstro Online Movie Ticket Booking System versão 1.0, considere implementar validação e verificação adequadas de solicitações para prevenir ataques de falsificação de solicitação entre sites. Como solução temporária, restrinja o acesso a operações sensíveis que poderiam ser exploradas por meio de tais ataques até que uma correção mais abrangente esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: CodeAstro Patient Record Management System versão 1.0 Descrição: Foi descoberto um problema crítico, afetando uma funcionalidade desconhecida do arquivo /login.php. A manipulação do argumento `uname` resulta em injeção de SQL. Este problema pode ser explorado remotamente. Recomendações: Para o CodeAstro Patient Record Management System versão 1.0, considere restringir o acesso ao arquivo /login.php até que uma correção esteja disponível. Como solução alternativa temporária, evite utilizar o argumento `uname` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: CodeAstro Simple Hospital Management System versão 1.0 Descrição: Existe uma falha devido a cross-site scripting em uma funcionalidade desconhecida do arquivo `/patient.html` dentro do componente Manipulador de Parâmetros POST. O ataque pode ser lançado remotamente e o exploit foi divulgado publicamente. Múltiplos parâmetros podem ser afetados. Recomendações: CodeAstro Simple Hospital Management System versão 1.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: PHPGurukul Hospital Management System versão 4.0 Descrição: Uma vulnerabilidade foi encontrada no PHPGurukul Hospital Management System, afetando uma funcionalidade desconhecida do arquivo /doctor/manage-patient.php. A manipulação do argumento `Name` leva a cross-site scripting. O ataque pode ser lançado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Recomendações: Como medida paliativa temporária, considere desativar a funcionalidade relacionada ao argumento `Name` no arquivo /doctor/manage-patient.php até que um patch esteja disponível. Restrinja o acesso ao arquivo /doctor/manage-patient.php para minimizar o risco de exploração. Evite usar o argumento `Name` no arquivo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: CodeAstro Patient Record Management System versão 1.0 Descrição: Foi identificada uma falha que possibilita a falsificação de solicitação entre sites (CSRF). A exploração pode ser realizada remotamente. Recomendações: Para o CodeAstro Patient Record Management System versão 1.0, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta falha.

Nome do Software Vulnerável e Versões Afetadas: PHPGurukul Hospital Management System versão 4.0 Descrição: Um problema crítico foi encontrado no PHPGurukul Hospital Management System, afetando alguma funcionalidade desconhecida do arquivo /doctor/search.php. A manipulação do argumento `searchdata` resulta em Injeção de SQL. Este problema pode ser explorado remotamente. Recomendações: Para o PHPGurukul Hospital Management System versão 4.0, como medida temporária, considere restringir o acesso ao arquivo /doctor/search.php ou desativar a funcionalidade de pesquisa até que uma correção esteja disponível. Evite utilizar o argumento `searchdata` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Sistema de Gerenciamento de Prontuários de Pacientes CodeAstro versão 1.0 Descrição: Uma vulnerabilidade foi identificada no Sistema de Gerenciamento de Prontuários de Pacientes CodeAstro. Este problema afeta algum processamento desconhecido do componente Generate New Report Page. A manipulação do argumento `Patient Name/Name` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. Recomendações: Para o Sistema de Gerenciamento de Prontuários de Pacientes CodeAstro versão 1.0, considere restringir o acesso à página Generate New Report Page até que uma correção esteja disponível. Como medida temporária, evite utilizar o argumento `Patient Name/Name` no componente afetado para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** CodeAstro Food Ordering System versão 1.0 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) devido à manipulação do argumento `Restaurant Name/Address` dentro de um manipulador de parâmetro de requisição POST. Isso afeta uma função desconhecida no arquivo `/admin/store/edit/`. A vulnerabilidade permite ataques remotos. O exploit para este problema foi divulgado publicamente. **Recomendações** CodeAstro Food Ordering System versão 1.0: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** PHPGurukul Hospital Management System versão 4.0 **Descrição** Uma vulnerabilidade foi encontrada no PHPGurukul Hospital Management System. Ela foi classificada como problemática e afeta uma função desconhecida do arquivo /doctor/edit-patient.php?editid=2 do componente Manipulador de Parâmetros POST. A manipulação do argumento `patname` resulta em cross-site scripting. É possível executar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Para o PHPGurukul Hospital Management System versão 4.0, considere desativar o argumento `patname` no endpoint /doctor/edit-patient.php até que um patch esteja disponível. Restrinja o acesso ao componente Manipulador de Parâmetros POST para minimizar o risco de exploração. Evite utilizar o argumento `patname` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.