Durante análise de uma aplicação web utilizada por certa secretaria estadual de meio ambiente para gerenciamento de autos de infração, a equipe de segurança identificou que campos de formulário não tinham validação adequada no servidor. Foi possível enviar dados contendo comandos de banco de dados por meio de um campo de pesquisa, o que resultou em alteração indevida de registros. Em outro teste, verificou-se que o aplicativo refletia, na resposta HTML, trechos de entrada do usuário sem filtragem, permitindo a inserção de scripts que eram executados no navegador de quem acessava a página. Esses dois achados foram registrados no processo de gestão de vulnerabilidades previsto no SGSI da organização, em conformidade com a NBR ISO/IEC 27001:2013.

Considerando ameaças e vulnerabilidades em aplicações web, assinale a opção correta a respeito da classificação das duas falhas descritas na situação hipotética apresentada.