Tansique Dasari

**Nome do Software Vulnerável e Versões Afetadas** Institute-of-Current-Students versão 1.0 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) refletido devido à sanitização inadequada da entrada do usuário. Especificamente, a aplicação falha em sanitizar o parâmetro `email` antes de refleti-lo na resposta HTML. Isso permite que invasores injetem e executem código JavaScript arbitrário no contexto do navegador da vítima. A exploração bem-sucedida pode levar ao sequestro de sessão ou roubo de credenciais. O endpoint vulnerável é `/postquerypublic`. **Recomendações** Institute-of-Current-Students versão 1.0: Realize a sanitização da entrada do usuário para o parâmetro `email` no endpoint `/postquerypublic` para prevenir a injeção de scripts maliciosos.

**Nome do Software Vulnerável e Versões Afetadas** CloudClassroom-PHP-Project versão 1.0 **Descrição** A falha permite que atacantes não autenticados contornem a autenticação e obtenham acesso administrativo devido a uma Injeção de SQL no arquivo loginlinkadmin.php. A aplicação não sanitiza adequadamente as entradas do usuário antes de construir consultas SQL, permitindo que um atacante manipule as consultas ao banco de dados por meio de payloads especialmente criados. **Recomendações** Para o CloudClassroom-PHP-Project versão 1.0, considere implementar a sanitização adequada de entradas para prevenir ataques de Injeção de SQL. Como solução temporária, restrinja o acesso ao arquivo loginlinkadmin.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.