Webray.Com.Cn

**Name of the Vulnerable Software and Affected Versions** SourceCodester/janobe Resort Reservation System version 1.0 **Description** A flaw exists that allows unrestricted file uploads. This is due to improper handling of the `image` argument within the `doInsert` function located in the `/controller.php?action=add` file. The issue can be exploited remotely. The exploit details have been publicly disclosed. **Recommendations** Apply a fix to the `doInsert` function in the `/controller.php?action=add` file to prevent unrestricted file uploads.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester/janobe Resort Reservation System versão 1.0 **Descrição** Existe uma falha no processamento do arquivo `/room rates.php` no software. A manipulação do argumento `q` neste arquivo pode levar a uma condição de injeção de SQL. Este problema é explorável remotamente e detalhes sobre o exploit estão disponíveis publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** SourceCodester/janobe Resort Reservation System version 1.0 **Description** A SQL injection issue exists in SourceCodester/janobe Resort Reservation System version 1.0. The issue is located in the `/accomodation.php` file. Manipulation of the `q` argument can lead to SQL injection, allowing for remote exploitation. The exploit has been publicly disclosed. **Recommendations** Apply any available updates to address the vulnerability in the `/accomodation.php` file. Sanitize the `q` argument to prevent SQL injection attacks. As a temporary workaround, restrict access to the `/accomodation.php` file.

**Name of the Vulnerable Software and Affected Versions** SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System version 1.0 **Description** A flaw exists in SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System version 1.0 related to cross site scripting. The issue is triggered by manipulating the `patient id` argument in the /appointments.php file. This allows for remote attacks. The exploit is publicly available. **Recommendations** Apply any available updates or patches for the application. As a temporary workaround, sanitize the `patient id` input to prevent script injection. Restrict access to the /appointments.php file if possible.

**Name of the Vulnerable Software and Affected Versions** SourceCodester/Patrick Mvuma Patients Waiting Area Queue Management System version 1.0 **Description** A flaw exists in the Patients Waiting Area Queue Management System that allows for cross site scripting. This manipulation occurs through the `patient id` argument in the /checkin.php file and can be initiated remotely. The exploit has been published. **Recommendations** Apply any available updates or patches for the Patients Waiting Area Queue Management System. As a temporary workaround, consider restricting access to the /checkin.php file. Sanitize the `patient id` input to prevent the injection of malicious scripts.

**Nome do Software Vulnerável e Versões Afetadas** versões do baowzh hfly anteriores a 638ff9abe9078bc977c132b37acbe1900b63491c **Descrição** Existe uma vulnerabilidade de path traversal no baowzh hfly. O problema está relacionado à manipulação do argumento `filename` dentro de uma função desconhecida do arquivo '/admin/index.php/datafile/delfile'. Isso permite exploração remota. O exploit foi divulgado publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Versões anteriores a 638ff9abe9078bc977c132b37acbe1900b63491c devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** baowzh hfly versões anteriores a 638ff9abe9078bc977c132b37acbe1900b63491c **Descrição** Existe uma vulnerabilidade de segurança no baowzh hfly que permite path traversal. Isso ocorre devido à manipulação do argumento `filename` no endpoint da API `/admin/index.php/datafile/download`. A vulnerabilidade está presente em uma função desconhecida dentro do arquivo `/admin/index.php/datafile/download`. O exploit foi divulgado publicamente e pode ser utilizado remotamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** Aplique atualizações em versões anteriores a 638ff9abe9078bc977c132b37acbe1900b63491c. Como solução temporária, restrinja o acesso ao endpoint da API `/admin/index.php/datafile/download`. Evite usar o parâmetro `filename` no endpoint da API `/admin/index.php/datafile/download` até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** baowzh hfly (versões afetadas não especificadas) **Descrição** Existe uma falha que permite o upload de arquivos sem restrições. O problema está localizado em uma função desconhecida dentro do arquivo `/Public/Kindeditor/php/upload json.php`. A manipulação do parâmetro `imgFile` permite esse upload sem restrições, e o ataque pode ser iniciado remotamente. O exploit está disponível publicamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** baowzh hfly versões anteriores a 638ff9abe9078bc977c132b37acbe1900b63491c **Descrição** Existe uma falha de segurança devido a cross site scripting no processamento do arquivo `/admin/index.php/advtext/add` no Módulo advtext. O ataque pode ser realizado remotamente. O exploit está disponível publicamente. O fornecedor foi notificado, mas não respondeu. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Church Management Software versão 1.0 **Descrição** Um problema crítico afeta um processamento desconhecido do arquivo /fpassword.php. A manipulação do argumento `email` resulta em injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Como medida temporária, considere restringir o acesso ao arquivo /fpassword.php até que um patch esteja disponível. Evite utilizar o argumento `email` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Church Management Software versão 1.0 **Descrição** A questão refere-se a um problema de cross-site scripting. Envolve o endpoint da API "/admin/redirect.php". **Recomendações** Para o SourceCodester Best Church Management Software versão 1.0, como medida de contorno temporária, considere restringir o acesso ao endpoint "/admin/redirect.php" até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Employee Management System versão 1.0 **Descrição** Uma vulnerabilidade foi identificada no processamento do arquivo /admin/salary slip.php. A manipulação do argumento `id` resulta em bypass de autorização. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado previamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Como solução temporária, considere desabilitar o acesso ao arquivo /admin/salary slip.php até que um patch esteja disponível. Restrinja a manipulação do argumento `id` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** SourceCodester Best Church Management Software version 1.0 **Description** A critical vulnerability was found in the software, affecting an unknown functionality of the file /admin/app/asset crud.php. The manipulation of the `photo1` argument leads to unrestricted upload. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. **Recommendations** As a temporary workaround, consider disabling the upload functionality in the /admin/app/asset crud.php file until a patch is available. Restrict access to the `photo1` argument in the affected API endpoint to minimize the risk of exploitation. Avoid using the /admin/app/asset crud.php file for uploading files until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Church Management Software versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no software, classificada como problemática. Afeta alguma funcionalidade desconhecida do arquivo /admin/app/profile crud.php. A manipulação do argumento `old cat img` leva a um path traversal: '../filedir'. O ataque pode ser lançado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Como solução temporária (workaround), considere restringir o acesso ao arquivo `/admin/app/profile crud.php` até que um patch esteja disponível. Evite usar o argumento `old cat img` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Employee Management System versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no SourceCodester Best Employee Management System, afetando código desconhecido do arquivo /admin/backup/backups.php. Isso resulta em divulgação de informações e pode ser explorado remotamente. O exploit foi divulgado ao público e o fornecedor foi contatado, mas não respondeu. **Recomendações** Como solução temporária, considere desativar o acesso ao arquivo /admin/backup/backups.php até que um patch esteja disponível. Restrinja o acesso ao arquivo `backups.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SourceCodester Best House Rental Management System versão 1.0 **Descrição** Foi encontrada uma falha crítica no sistema, afetando o arquivo /ajax.php?action=update account. A manipulação dos argumentos `firstname`, `lastname` ou `email` leva à injeção de SQL. Essa falha pode ser explorada remotamente. A exploração já foi divulgada ao público e pode estar em uso. **Recomendações** Para o SourceCodester Best House Rental Management System versão 1.0, considere desativar o endpoint `/ajax.php?action=update account` até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar os argumentos `firstname`, `lastname` ou `email` no endpoint afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SourceCodester Best House Rental Management System versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade crítica no sistema, afetando alguma funcionalidade desconhecida do arquivo “/ajax.php?action=signup”. A manipulação dos argumentos `firstname`, `lastname` e `email` leva à injeção de SQL. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para o SourceCodester Best House Rental Management System versão 1.0, considere desativar o endpoint `/ajax.php?action=signup` até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar os argumentos `firstname`, `lastname` e `email` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do software vulnerável e versões afetadas: SourceCodester Best House Rental Management System versão 1.0 Descrição: Foi identificada uma vulnerabilidade no sistema, classificada como problemática, que afeta uma funcionalidade desconhecida do arquivo /ajax.php?action=save category. A manipulação do argumento `name` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. Esta falha apresenta riscos como roubo de dados e desfiguração do site. Recomendações: Para a versão 1.0, aplique o patch no sistema e valide as entradas no backend para impedir a exploração. Como solução temporária, considere restringir o acesso ao endpoint /ajax.php?action=save category até que um patch esteja disponível. Além disso, evite usar o argumento `name` no endpoint afetado até que a falha seja resolvida.

**Nome do software vulnerável e versões afetadas** Sistema de gerenciamento de FAQ SourceCodester, versão 1.0 **Descrição** Foi identificada uma falha no componente “Atualizar FAQ”, na qual a manipulação do parâmetro `Frequently Asked Question` leva a um ataque de cross-site scripting. O ataque pode ser executado remotamente. **Recomendações** Para o Sistema de Gerenciamento de FAQ do SourceCodester versão 1.0, considere restringir o acesso ao componente “Update FAQ” até que uma correção esteja disponível. Como solução temporária, evite usar o argumento `Frequently Asked Question` na funcionalidade afetada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** SourceCodester Online Learning System V2 versão 1.0 **Descrição** Foi detectada uma falha no software, afetando uma função desconhecida do arquivo /index.php. A manipulação do argumento `page` leva a um ataque de cross-site scripting. É possível lançar o ataque remotamente. A falha foi divulgada ao público. **Recomendações** Para a versão 1.0, considere desativar a função afetada em /index.php até que um patch esteja disponível. Restrinja o acesso ao arquivo /index.php para minimizar o risco de exploração. Evite usar o argumento `page` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.