Zerrr0

**Name of the Vulnerable Software and Affected Versions** Sourcecodester Best Courier Management System version 1.0 **Description** The issue concerns SQL Injection via the `id` parameter in the "/edit staff.php" API endpoint. This allows for potential exploitation. **Recommendations** For Sourcecodester Best Courier Management System version 1.0, consider restricting access to the "/edit staff.php" endpoint until a patch is available. As a temporary workaround, avoid using the `id` parameter in the affected endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Sourcecodester Best Courier Management System version 1.0 **Description** The issue concerns an arbitrary file upload vulnerability in the `update user` function. This allows for potential malicious file uploads. No information is provided about the estimated number of potentially affected devices worldwide or real-world incidents where this issue was exploited. **Recommendations** For Sourcecodester Best Courier Management System version 1.0, consider disabling the `update user` function until a patch is available to prevent arbitrary file uploads. Restrict access to file upload features to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Sourcecodester Best Courier Management System version 1.0 **Description** The issue is related to SQL Injection, which occurs via the `id` parameter in the "/edit branch.php" API endpoint. This allows for potential exploitation. No information is provided about the estimated number of affected devices or real-world incidents. **Recommendations** For Sourcecodester Best Courier Management System version 1.0, consider restricting access to the "/edit branch.php" endpoint to minimize the risk of exploitation. Avoid using the `id` parameter in the affected API endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Sourcecodester Best Courier Management System version 1.0 **Description** The issue is related to SQL Injection via the parameter `id` in the "/edit user.php" API endpoint. This allows for potential exploitation. No information is provided about the estimated number of potentially affected devices worldwide or real-world incidents where this issue was exploited. **Recommendations** For Sourcecodester Best Courier Management System version 1.0, as a temporary workaround, consider restricting access to the "/edit user.php" endpoint or avoiding the use of the `id` parameter until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Sistema de Pedidos Online versão 2.3.2 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio de um arquivo PHP malicioso, explorando uma vulnerabilidade de envio arbitrário de arquivos no componente `/admin/products/controller.php?action=add`. **Recomendações** Para o Sistema de Pedidos Online versão 2.3.2, considere desativar o componente `/admin/products/controller.php?action=add` até que uma correção esteja disponível para impedir uploads arbitrários de arquivos e a subsequente execução de código. Restrinja o acesso a este componente para minimizar o risco de exploração. Evite usar este componente com entradas não confiáveis até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Sistema de Pedidos Online versão 2.3.2 **Descrição** Foi detectada uma vulnerabilidade de injeção de SQL no Sistema de Pedidos Online através do parâmetro `user email` no endpoint da API “/admin/login.php”. **Recomendações** Para o Sistema de Pedidos Online versão 2.3.2, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Garage Management System versão 1.0 **Descrição** A vulnerabilidade permite que invasores executem código arbitrário por meio de um arquivo PHP malicioso, explorando uma vulnerabilidade de upload de arquivos arbitrários no componente /php action/createProduct.php. **Recomendações** Para o Sistema de Gerenciamento de Oficina versão 1.0, considere remover ou restringir o acesso ao componente /php action/createProduct.php até que uma correção esteja disponível e evite usar esse componente para fazer upload de arquivos de fontes não confiáveis.

**Nome do software vulnerável e versões afetadas** OpenSIS Classic versão 8.0 **Descrição** O problema se deve a uma falha de proteção, permitindo que o parâmetro `student id` no endpoint “/modules/eligibility/Student.php” seja usado para injetar consultas SQL, o que pode extrair informações de bancos de dados. **Recomendações** Para o OpenSIS Classic versão 8.0, considere restringir o acesso ao endpoint “/modules/eligibility/Student.php” para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro `student id` neste endpoint até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.