Suffer

**Nome do Software Vulnerável e Versões Afetadas** CodeCanyon Perfex CRM versões anteriores a 3.4.2 **Descrição** Uma falha no Admin Kanban Endpoint permite a execução de SQL injection remota, uma técnica onde instruções SQL maliciosas são inseridas em campos de entrada para execução. O problema reside na função `AbstractKanban::applySortQuery()` localizada no arquivo `application/services/AbstractKanban.php`, especificamente causada pela manipulação do argumento `this`. **Recomendações** Atualize para a versão 3.4.2 ou posterior. Como medida paliativa temporária, restrinja o acesso ao Admin Kanban Endpoint para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** CodeCanyon Perfex CRM versões anteriores a 3.4.2 **Descrição** Um bypass de autorização existe no componente Tenant Handler dentro da função `Clients::project()` do arquivo `application/controllers/Clients.php`. Um invasor remoto pode explorar isso manipulando o argumento `ID`. **Recomendações** Atualize para a versão 3.4.2 ou posterior. Como medida paliativa temporária, restrinja o acesso à função `Clients::project()` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** CodeCanyon Perfex CRM versão 3.2.1 **Descrição** Uma vulnerabilidade foi encontrada no CodeCanyon Perfex CRM. Ela foi classificada como problemática. Uma função desconhecida do arquivo /perfex/clients/project/2 do componente Módulo de Discussões do Projeto é afetada. A manipulação do `argument description` resulta em Cross-Site Scripting. É possível lançar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. **Recomendações** Para o CodeCanyon Perfex CRM versão 3.2.1, considere desabilitar a função desconhecida do arquivo /perfex/clients/project/2 do componente Módulo de Discussões do Projeto até que um patch esteja disponível. Restrinja o acesso ao Módulo de Discussões do Projeto para minimizar o risco de exploração. Evite usar o `argument description` no módulo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do CodeCanyon Perfex CRM até a 3.2.1 **Descrição** Uma vulnerabilidade foi encontrada no componente Contracts do CodeCanyon Perfex CRM, afetando código desconhecido do arquivo /contract. A manipulação do argumento `content` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. **Recomendações** Para versões do CodeCanyon Perfex CRM até a 3.2.1, considere desativar o acesso ao endpoint /contract do componente Contracts até que uma correção esteja disponível. Restrinja a manipulação do argumento `content` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do CodeCanyon CRMGo SaaS até a 7.2 Descrição: Foi detectada uma falha no software que afeta um processo não identificado do arquivo “/project/task/{task id}/show”. A manipulação do argumento `comment` leva a um ataque de script entre sites (XSS). O ataque pode ser iniciado remotamente. Recomendações: Para versões até a 7.2, considere desativar o acesso ao endpoint “/project/task/{task id}/show” até que uma correção esteja disponível. Restrinja o uso do argumento `comment` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Nome do software vulnerável e versões afetadas: CodeCanyon RISE Ultimate Project Manager versão 3.7.0 Descrição: Foi identificada uma falha crítica que afeta o arquivo /index.php/dashboard/save. O argumento `id` está suscetível a injeção de SQL, permitindo ataques remotos. Recomendações: Para o CodeCanyon RISE Ultimate Project Manager versão 3.7.0, recomenda-se atualizar o componente afetado para uma versão mais recente a fim de mitigar o risco de injeção de SQL. Como solução temporária, considere restringir o acesso ao endpoint /index.php/dashboard/save até que um patch esteja disponível. Evite usar o argumento `id` no endpoint afetado até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Perfex CRM versão 3.1.6 Descrição: Existe um problema no arquivo application/controllers/Clients.php do componente Parameter Handler. A manipulação do argumento `message` leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. Recomenda-se aplicar um patch para corrigir esse problema. Recomendações: Para o Perfex CRM versão 3.1.6, aplique um patch para corrigir este problema. Como solução temporária, considere restringir o acesso ao parâmetro `message` vulnerável no endpoint da API afetado até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: QDocs Smart School Management System versão 7.0.0 Descrição: Foi identificada uma vulnerabilidade crítica no QDocs Smart School Management System. O problema afeta uma funcionalidade desconhecida do arquivo /user/chat/mynewuser do componente Chat. A manipulação do argumento `users[]` com uma entrada específica como parte de um parâmetro de solicitação POST leva a uma injeção de SQL. O ataque pode ser lançado remotamente. Recomendações: Para o QDocs Smart School Management System versão 7.0.0, atualize para a versão 7.0.1 para resolver este problema. Como solução temporária, considere restringir o acesso ao componente Chat vulnerável até que a atualização seja aplicada. Evite usar o argumento `users[]` no endpoint da API afetado até que o problema seja resolvido.