Tuando243

**Nome do software vulnerável e versões afetadas** BlogEngine versão 3.3.8.0 **Descrição** Foi detectada uma vulnerabilidade de script entre sites (XSS) no componente /blogengine/api/posts, permitindo que invasores executem scripts da web ou HTML arbitrários ao injetar uma carga maliciosa no campo `Description`. **Recomendações** Para o BlogEngine versão 3.3.8.0, como solução temporária, considere restringir o acesso ao endpoint /blogengine/api/posts até que um patch esteja disponível. Evite usar o campo `Description` no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Miniblog.Core versão 1.0 **Descrição** A vulnerabilidade permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo `Excerpt` no endpoint da API “/blog/edit”. Isso possibilita a execução de código malicioso no lado do cliente. **Recomendações** Para o Miniblog.Core versão 1.0, considere desativar a funcionalidade de edição no componente /blog/edit até que uma correção esteja disponível para impedir a exploração da vulnerabilidade XSS. Restrinja o acesso ao campo Excerpt para minimizar o risco de injeção de carga maliciosa.

**Nome do software vulnerável e versões afetadas** Blogifier versão 3.0 **Descrição** A vulnerabilidade permite que invasores executem scripts da Web ou HTML arbitrários por meio de um arquivo malicioso, explorando uma vulnerabilidade de upload de arquivos arbitrários no endpoint da API `/api/storage/upload/PostImage`. Isso permite que invasores possam, potencialmente, fazer upload de arquivos maliciosos. **Recomendações** Para o Blogifier versão 3.0, considere desativar o endpoint da API `/api/storage/upload/PostImage` até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de upload de arquivos arbitrários. Restrinja o acesso a este endpoint para minimizar o risco de upload de arquivos maliciosos.

**Nome do software vulnerável e versões afetadas** PartKeepr versão 1.4.0 **Descrição** Existe uma vulnerabilidade de Cross Site Scripting (XSS) no campo `name` do endpoint da API “/api/part categories”. **Recomendações** Para a versão 1.4.0 do PartKeepr, como solução temporária, considere restringir o acesso ao endpoint da API `/api/part categories` até que uma correção esteja disponível. Evite usar o campo `name` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** ChurchCRM versão 4.4.5 **Descrição** Existe uma vulnerabilidade de injeção de SQL através do campo `PersonID` no endpoint da API “/churchcrm/WhyCameEditor.php”. **Recomendações** Para o ChurchCRM versão 4.4.5, como solução temporária, considere restringir o acesso ao endpoint “/churchcrm/WhyCameEditor.php” até que um patch esteja disponível. Evite usar o campo `PersonID` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Pixelimity versão 1.0 **Descrição** Existe uma vulnerabilidade de execução remota de código (RCE) devido à falta de sanitização dos dados de entrada. Isso permite que um invasor remoto execute código arbitrário através do endpoint “admin/admin-ajax.php?action=install theme”. O número estimado de dispositivos potencialmente afetados e detalhes sobre incidentes reais não foram fornecidos. **Recomendações** Para a versão 1.0 do Pixelimity, como solução temporária, considere desativar o acesso ao endpoint “admin/admin-ajax.php?action=install theme” até que um patch esteja disponível. Restrinja os dados de entrada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Pixelimity versão 1.0 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que invasores executem scripts da Web ou HTML arbitrários por meio do campo `Title` no endpoint “admin/pages.php?action=add new”. Isso permite que invasores injetem código malicioso na aplicação. **Recomendações** Para o Pixelimity versão 1.0, considere restringir o acesso ao endpoint “admin/pages.php?action=add new” até que uma correção esteja disponível e evite usar o campo `Title` nesse endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gerenciamento de Prontuários Hospitalares, versão 1.0 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo `special`. Isso possibilita que invasores possam roubar dados de usuários ou assumir o controle de sessões de usuários. **Recomendações** Para o Sistema de Gerenciamento de Registros de Pacientes Hospitalares versão 1.0, considere desativar a entrada do campo `special` até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a áreas confidenciais do sistema para minimizar o risco de execução de scripts arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.