Yago Martins

**Name of the Vulnerable Software and Affected Versions** Quantico Tecnologia PRMV version 6.48 **Description** A critical vulnerability was found in Quantico Tecnologia PRMV, affecting an unknown part of the file `/admin/login.php` of the component Login Endpoint. The manipulation of the `username` argument leads to SQL injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For Quantico Tecnologia PRMV version 6.48, as a temporary workaround, consider restricting access to the `/admin/login.php` endpoint until a patch is available. Avoid using the `username` argument in the affected Login Endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** AT Software Solutions ATSVD versions up to 3.4.1 **Description** A critical issue affects some unknown functionality of the component Esqueceu a senha. The manipulation of the `txtCPF` argument leads to SQL injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. **Recommendations** Upgrading to version 3.4.2 is able to address this issue. It is recommended to upgrade the affected component. As a temporary workaround, consider restricting the use of the `txtCPF` argument to minimize the risk of exploitation.

**Nome do Software Vulnerável e Versões Afetadas** AT Software Solutions ATSVD versões até 3.4.1 **Descrição** Uma falha crítica foi identificada no componente Login Endpoint, especificamente no arquivo /login.aspx, onde a manipulação do argumento `txtUsuario` resulta em injeção de SQL. Esta falha pode ser explorada remotamente. **Recomendações** Para as versões do AT Software Solutions ATSVD até 3.4.1, atualize para a versão 3.4.2 para corrigir este problema.

**Nome do Software Vulnerável e Versões Afetadas** Benner Connecta versão 1.0.5330 **Descrição** Um problema crítico foi descoberto no software, afetando uma funcionalidade desconhecida relacionada ao arquivo /Usuarios/Usuario/EditarLogado/. A manipulação do argumento `Handle` leva ao controle impróprio de identificadores de recursos, permitindo ataques remotos. O fornecedor foi contatado sobre este problema, mas não respondeu. **Recomendações** Para o Benner Connecta versão 1.0.5330, como medida temporária, considere restringir o acesso ao arquivo /Usuarios/Usuario/EditarLogado/ até que uma correção esteja disponível. Evite manipular o argumento `Handle` neste contexto para minimizar o risco de exploração. Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Benner ModernaNet versões 1.1.0 e anteriores **Descrição** Uma falha crítica foi encontrada no Benner ModernaNet, afetando uma parte desconhecida do arquivo `/AGE0000700/GetHorariosDoDia?idespec=0&idproced=1103&data=2025-02-25+19%3A25&agserv=0&convenio=1&localatend=1&idplano=5&pesfis=01&idprofissional=0&target=.horarios--dia--d0& =1739371223797`. A manipulação resulta em injeção de SQL, e é possível iniciar o ataque remotamente. A atualização para a versão 1.1.1 pode corrigir este problema. **Recomendações** Para resolver o problema, atualize para a versão 1.1.1. Como solução de contorno temporária, considere restringir o acesso ao endpoint da API vulnerável `/AGE0000700/GetHorariosDoDia` até que a atualização seja aplicada. Evite usar os parâmetros `idespec`, `idproced`, `data`, `agserv`, `convenio`, `localatend`, `idplano`, `pesfis`, `idprofissional` e `target` no endpoint da API afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Benner ModernaNet versions up to 1.1.0 **Description** A critical issue affects some unknown functionality of the file /Home/JS CarregaCombo?formName=DADOS PESSOAIS PLANO&additionalCondition=&insideParameters=&elementToReturn=DADOS PESSOAIS PLANO&ordenarPelaDescricao=true&direcaoOrdenacao=asc& =1739290047295. The manipulation leads to sql injection. The attack may be launched remotely. **Recommendations** To address this issue, upgrade to version 1.1.1. It is recommended to upgrade the affected component. As a temporary workaround, consider restricting access to the /Home/JS CarregaCombo API endpoint until the issue is resolved.

**Nome do Software Vulnerável e Versões Afetadas** Benner ModernaNet versões 1.1.0 e anteriores **Descrição** Um problema crítico foi identificado no Benner ModernaNet, afetando código desconhecido no arquivo /AGE0000700/GetImageMedico?fooId=1. A manipulação do parâmetro `fooId` leva ao controle inadequado de identificadores de recursos, permitindo ataques remotos. A atualização para a versão 1.1.1 pode corrigir este problema. **Recomendações** Para as versões 1.1.0 e anteriores do Benner ModernaNet, atualize para a versão 1.1.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API /AGE0000700/GetImageMedico até que a atualização seja aplicada. Evite usar o parâmetro `fooId` no endpoint da API afetado até que o problema seja resolvido.