Thirukrishnan

**Nome do software vulnerável e versões afetadas** Unifiedtransform versões 2.X **Descrição** A vulnerabilidade está relacionada a Stored Cross-Site Scripting (XSS) por meio do recurso de upload de arquivos no módulo Syllabus. Isso permite que scripts maliciosos sejam armazenados e executados no servidor. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. A vulnerabilidade é explorada por meio do recurso de upload de arquivos, mas detalhes técnicos específicos, como endpoints de API, parâmetros vulneráveis ou nomes de funções, não são fornecidos. **Recomendações** Para a versão 2.X do Unifiedtransform, considere desativar o recurso de upload de arquivos no módulo Syllabus como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo Syllabus para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Minical version 1.0.0 **Description** The issue is related to Cross Site Scripting (XSS) and is caused by insufficient input validation in the application's user input handling in the security helper.php file. **Recommendations** For Minical version 1.0.0, ensure proper input validation is implemented in the security helper.php file to prevent XSS attacks. As a temporary workaround, consider restricting user input handling until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Minical version 1.0.0 **Description** The issue is related to Cross Site Request Forgery (CSRF) via the minical/public/application/controllers/settings/company.php file. This means an attacker could potentially trick a user into performing unintended actions on the web application. **Recommendations** For Minical version 1.0.0, as a temporary workaround, consider restricting access to the minical/public/application/controllers/settings/company.php file until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Minical versions 1.0.0 and earlier **Description** The issue is related to a CSV injection vulnerability that allows an attacker to execute remote code. This is due to insufficient input validation on the `Customer Name` field in the Accounting module, which is used to construct a CSV file. **Recommendations** For Minical versions 1.0.0 and earlier, update to a version that includes input validation for the `Customer Name` field in the Accounting module to prevent CSV injection attacks. As a temporary workaround, consider restricting input for the `Customer Name` field to minimize the risk of exploitation.