Yorklee

**Nome do software vulnerável e versões afetadas** Sistema de Gerenciamento de Pedidos de Alimentos, versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Ela pode ser explorada por meio do componente /foms/all-orders.php?status=Cancelled%20by%20Customer. Essa vulnerabilidade permite possíveis ataques de injeção de SQL. **Recomendações** Para o Sistema de Gerenciamento de Pedidos de Alimentos versão 1.0, como solução temporária, considere restringir o acesso ao componente /foms/all-orders.php até que um patch esteja disponível. Evite usar o parâmetro `status` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Projeto Sistema de Gestão de Refeitório, versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do componente /youthappam/add-food.php. **Recomendações** Para o Projeto Sistema de Gestão de Cantinas versão 1.0, considere restringir o acesso ao componente /youthappam/add-food.php até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gestão de Passeios e Viagens Online, versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de upload arbitrário de arquivos no componente /operations/travellers.php. Isso permite que invasores executem código arbitrário por meio de um arquivo PHP malicioso. **Recomendações** Para o Sistema de Gerenciamento de Passeios e Viagens Online versão 1.0, considere desativar a funcionalidade de upload de arquivos no componente /operations/travellers.php até que uma correção esteja disponível. Restrinja o acesso a este componente para minimizar o risco de exploração. Evite usar este componente para fazer upload de arquivos de fontes não confiáveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gerenciamento de Laboratório de Diagnóstico Online, versão 1.0 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL. Essa vulnerabilidade pode ser explorada por meio do parâmetro `id` no endpoint da API “/classes/Users.php?f=delete client”. **Recomendações** Para o Sistema de Gerenciamento de Laboratório de Diagnóstico Online versão 1.0, considere restringir o acesso ao endpoint da API `/classes/Users.php?f=delete client` para minimizar o risco de exploração. Evite usar o parâmetro `id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Sistema de Gerenciamento de Laboratório de Diagnóstico Online, versão 1.0 **Descrição** O problema está relacionado à falta de proteção contra a exploração da estrutura de consultas SQL. Isso pode ser explorado por um invasor remoto para executar consultas SQL arbitrárias usando o parâmetro `id` no endpoint “/classes/Master.php?f=delete appointment”. **Recomendações** Para o Sistema de Gerenciamento de Laboratório de Diagnóstico Online versão 1.0, considere restringir o acesso ao endpoint “/classes/Master.php?f=delete appointment” até que uma correção esteja disponível. Como solução temporária, evite usar o parâmetro `id` no endpoint afetado para minimizar o risco de exploração.