Thelastvvv

**Nome do software vulnerável e versões afetadas** SialWeb CMS (versões afetadas não especificadas) **Descrição** Foi detectada uma falha crítica no SialWeb CMS, afetando uma parte desconhecida do arquivo /about.php. A manipulação do argumento `Id` leva a uma injeção de SQL. É possível iniciar o ataque remotamente. O código de exploração já foi divulgado ao público e pode estar em uso. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Soluzione Globale Ecommerce CMS versão v1 **Descrição** A vulnerabilidade permite que ocorra injeção de SQL. Isso está relacionado ao parâmetro `offerta.php`. **Recomendações** Para o Soluzione Globale Ecommerce CMS versão v1, evite usar o parâmetro `offerta.php` até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Webexcels Ecommerce CMS versões 2.x, 2017, 2018, 2019, 2020 **Descrição** A vulnerabilidade diz respeito a um problema de cross-site scripting. Está relacionada ao parâmetro `id` do arquivo “search.php”. **Recomendações** Para as versões 2.x, 2017, 2018, 2019 e 2020 do Webexcels Ecommerce CMS, considere restringir o acesso ao endpoint ‘search.php’ até que uma correção esteja disponível e evite usar o parâmetro `id` nesse endpoint para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** DesignMasterEvents Conference management versão 1.0.0 **Descrição** A vulnerabilidade permite injeção de SQL através do campo `username` na página de login do administrador. **Recomendações** Para o DesignMasterEvents Conference management versão 1.0.0, evite usar o campo `username` na página de login do administrador até que a vulnerabilidade seja resolvida. Como solução temporária, considere restringir o acesso à página de login do administrador para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** DesignMasterEvents - Gerenciamento de conferências, versão 1.0.0 **Descrição** O problema diz respeito a uma vulnerabilidade de cross-site scripting. Está relacionado ao arquivo ‘certificate.php’, o que sugere que a vulnerabilidade pode ser explorada por meio desse componente específico. **Recomendações** Para o DesignMasterEvents Conference management versão 1.0.0, considere restringir o acesso ao arquivo ‘certificate.php’ como medida de mitigação temporária até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Create-Project Manager versão 1.07 **Descrição** O problema diz respeito a uma falta de proteção na estrutura da página da web, permitindo uma possível exploração. Isso pode levar um invasor remoto a realizar um ataque de cross-site scripting (XSS). A vulnerabilidade está presente em várias áreas, incluindo o chat online, o feed social, a tag de título da mensagem e ao adicionar um novo cliente, onde todas as tags são vulneráveis. **Recomendações** Para o Create-Project Manager versão 1.07, considere desativar o chat online, o feed social e a funcionalidade de adicionar novos clientes até que um patch esteja disponível para prevenir ataques XSS e de injeção de HTML. Restrinja o acesso a esses recursos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Webexcels Ecommerce CMS versões 2.x, 2017, 2018, 2019, 2020 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL por meio do parâmetro `id` no script `content.php`. Essa vulnerabilidade se deve à falta de medidas de proteção para a estrutura da consulta SQL. A exploração dessa vulnerabilidade pode permitir que um invasor remoto realize um ataque de script entre sites (XSS). **Recomendações** Para as versões 2.x, 2017, 2018, 2019 e 2020 do Webexcels Ecommerce CMS, considere desativar o parâmetro `id` no script `content.php` como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso ao script `content.php` para minimizar o risco de exploração. Evite usar o parâmetro `id` no script afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Portal CMS do Município de We-com, versões 2.1.x **Descrição** Pode ocorrer injeção de SQL através do campo de palavras-chave `cerca/`. Essa vulnerabilidade permite a manipulação de dados e o acesso não autorizado. **Recomendações** Para o CMS do portal do Município de We-com, versões 2.1.x, considere restringir o acesso ao campo de palavras-chave `cerca/` até que uma correção esteja disponível. Como solução temporária, evite usar o campo de palavras-chave `cerca/` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** We-com OpenData CMS versão 2.0 **Descrição** A vulnerabilidade permite a injeção de SQL através do campo `username` na página de login do administrador. Isso pode levar ao acesso não autorizado a dados confidenciais. **Recomendações** Para o We-com OpenData CMS versão 2.0, considere restringir o acesso à página de login do administrador até que uma correção esteja disponível. Como solução temporária, evite usar o campo `username` de forma que possa ser explorado para injeção de SQL. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** CMS do portal We-com Municipality, versões 2.1.x **Descrição** A vulnerabilidade permite a ocorrência de XSS por meio da barra de pesquisa. **Recomendações** Para as versões 2.1.x do CMS do portal We-com Municipality, considere restringir o acesso à barra de pesquisa até que uma correção esteja disponível. Como solução temporária, evite usar a barra de pesquisa no CMS do portal do Município de We-com até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Vanguard versão 2.1 para WordPress **Descrição** Foi detectada uma falha que permite a ocorrência de XSS através do campo de título `mails/new`, de um campo de produto na URI “p/” ou da caixa `Pesquisa de produtos`. **Recomendações** Para o plugin Vanguard versão 2.1, considere desativar o campo de título `mails/new`, restringir o acesso aos campos de produto e limitar o uso da caixa `Pesquisa de produtos` até que uma correção esteja disponível. Evite usar a URI `p/` com entradas não confiáveis.