Xiahao

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Employee Management System versão 1.0 **Descrição** Uma vulnerabilidade foi identificada no processamento do arquivo /admin/salary slip.php. A manipulação do argumento `id` resulta em bypass de autorização. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado previamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Como solução temporária, considere desabilitar o acesso ao arquivo /admin/salary slip.php até que um patch esteja disponível. Restrinja a manipulação do argumento `id` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Church Management Software versão 1.0 **Descrição** Uma vulnerabilidade foi encontrada no software, classificada como problemática. Afeta alguma funcionalidade desconhecida do arquivo /admin/app/profile crud.php. A manipulação do argumento `old cat img` leva a um path traversal: '../filedir'. O ataque pode ser lançado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Como solução temporária (workaround), considere restringir o acesso ao arquivo `/admin/app/profile crud.php` até que um patch esteja disponível. Evite usar o argumento `old cat img` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Employee Management System versão 1.0 **Descrição** Foi encontrada uma vulnerabilidade no SourceCodester Best Employee Management System, afetando código desconhecido do arquivo /admin/backup/backups.php. Isso resulta em divulgação de informações e pode ser explorado remotamente. O exploit foi divulgado ao público e o fornecedor foi contatado, mas não respondeu. **Recomendações** Como solução temporária, considere desativar o acesso ao arquivo /admin/backup/backups.php até que um patch esteja disponível. Restrinja o acesso ao arquivo `backups.php` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Church Management Software versão 1.0 **Descrição** Um problema crítico afeta um processamento desconhecido do arquivo /fpassword.php. A manipulação do argumento `email` resulta em injeção de SQL. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Como medida temporária, considere restringir o acesso ao arquivo /fpassword.php até que um patch esteja disponível. Evite utilizar o argumento `email` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Best Church Management Software versão 1.0 **Descrição** A questão refere-se a um problema de cross-site scripting. Envolve o endpoint da API "/admin/redirect.php". **Recomendações** Para o SourceCodester Best Church Management Software versão 1.0, como medida de contorno temporária, considere restringir o acesso ao endpoint "/admin/redirect.php" até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** SourceCodester Best Church Management Software version 1.0 **Description** A critical vulnerability was found in the software, affecting an unknown functionality of the file /admin/app/asset crud.php. The manipulation of the `photo1` argument leads to unrestricted upload. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. **Recommendations** As a temporary workaround, consider disabling the upload functionality in the /admin/app/asset crud.php file until a patch is available. Restrict access to the `photo1` argument in the affected API endpoint to minimize the risk of exploitation. Avoid using the /admin/app/asset crud.php file for uploading files until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do plugin Splash Header para WordPress anteriores à 1.20.8 **Descrição** O problema está relacionado a uma vulnerabilidade de Stored Cross-Site Scripting (XSS) em usuários autenticados. Isso ocorre porque o plugin não sanitiza e não escapa adequadamente algumas de suas configurações ao exibi-las no painel de administração. **Recomendações** Para versões anteriores à 1.20.8, atualize para a versão 1.20.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao painel de administração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Alojapro Widget para WordPress, versões 1.1.15 e anteriores **Descrição** A vulnerabilidade permite que usuários com privilégios elevados realizem ataques de Cross-Site Scripting devido à sanitização inadequada das configurações de CSS personalizado, mesmo quando a capacidade `unfiltered html` está desativada. **Recomendações** Para as versões 1.1.15 e anteriores do plugin Alojapro Widget para WordPress, atualize para uma versão posterior à 1.1.15 para resolver o problema.