Vance Hsieh

**Nome do software vulnerável e versões afetadas** Versões da plataforma de testes online Easytest anteriores à versão 24E01 **Descrição** A vulnerabilidade permite que invasores remotos executem comandos SQL arbitrários por meio do parâmetro `uid` na função de download do curso de aprendizagem do aluno. Isso permite que os invasores manipulem o banco de dados, o que pode levar ao acesso ou à modificação não autorizada de dados. **Recomendações** Para versões anteriores à ver.24E01, como solução temporária, considere restringir o acesso à função de download do curso de aprendizagem do aluno até que um patch esteja disponível. Evite usar o parâmetro `uid` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Plataforma de testes online Easytest, versões 24E01 e anteriores **Descrição** A vulnerabilidade permite que invasores remotos executem comandos SQL arbitrários por meio do parâmetro `cstr` na função de download do curso de aprendizagem. Isso possibilita que invasores possam acessar ou manipular dados confidenciais. **Recomendações** Para as versões 24E01 e anteriores, considere restringir o acesso à função de download do curso de aprendizagem até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `cstr` na função afetada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plataforma de testes online Easytest, versões 24E01 e anteriores **Descrição** A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários por meio do parâmetro `uid` na função de download do curso de aprendizagem pessoal. Isso permite que invasores manipulem o banco de dados, podendo levar ao acesso ou à modificação não autorizada de dados. **Recomendações** Para as versões 24E01 e anteriores da Plataforma de Testes Online Easytest, considere restringir o acesso à função de download do curso de aprendizagem pessoal até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro `uid` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plataforma de testes online Easytest, versões 24E01 e anteriores **Descrição** A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários por meio do parâmetro `search` na função de pesquisa de títulos de cursos. Isso possibilita que invasores executem comandos SQL maliciosos, o que pode levar a vazamentos de dados ou outros incidentes de segurança. **Recomendações** Para as versões 24E01 e anteriores, considere desativar temporariamente a função de pesquisa até que uma correção esteja disponível. Restrinja o acesso ao parâmetro `search` para minimizar o risco de exploração. Evite usar o parâmetro `search` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plataforma de testes online Easytest, versões 24E01 e anteriores **Descrição** A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários por meio do parâmetro `qlevel` na função de simulado de prova. Isso possibilita que invasores manipulem consultas ao banco de dados, o que pode levar ao acesso ou à modificação não autorizada de dados. **Recomendações** Para as versões 24E01 e anteriores, considere restringir o acesso à função de exame simulado até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `qlevel` na função afetada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plataforma de testes online Easytest, versões 24E01 e anteriores **Descrição** A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários por meio do parâmetro `word` na função do dicionário online. Isso pode levar a acesso não autorizado e manipulação de dados. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 24E01 e anteriores, considere restringir o acesso à função de dicionário online até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `word` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.