Xiaozhi

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Pharmacy Sales and Inventory System versão 1.0 **Descrição** Uma injeção de SQL remota é possível devido à manipulação do argumento `ID` no endpoint '/ajax.php?action=save user'. A injeção de SQL é uma técnica onde um invasor insere código SQL malicioso em uma consulta, permitindo potencialmente a leitura ou modificação de dados do banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SourceCodester Pet Grooming Management Software versão 1.0 **Descrição** Uma falha no endpoint '/admin/update customer.php' permite a realização de SQL injection remotamente. Isso ocorre devido à validação inadequada do tipo, comprimento ou validade do parâmetro de negócio do argumento, permitindo que um invasor manipule consultas ao banco de dados. **Recomendações** Atualize o SourceCodester Pet Grooming Management Software versão 1.0 para uma versão que contenha a correção para este problema. Como medida paliativa temporária, restrinja o acesso ao arquivo '/admin/update customer.php' para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** CMS Made Simple version 2.1.6 **Description** The issue is related to a lack of XSS filtering when adding a user group in the admin interface. This results in storage-type XSS generation via the `description` parameter in an addgroup action. **Recommendations** For CMS Made Simple version 2.1.6, consider disabling the addgroup functionality until a patch is available to prevent potential XSS exploitation. Restrict access to the admin/addgroup.php page to minimize the risk of exploitation. Avoid using the `description` parameter in the addgroup action until the issue is resolved.