Abbisqq

**Nome do Software Vulnerável e Versões Afetadas** Volmarg Personal Management System versão 1.4.65 **Descrição** A vulnerabilidade permite que atacantes executem código arbitrário e obtenham informações sensíveis através do valor padrão do atributo de cookie SameSite definido como `none`. Isso está relacionado à Falsificação de Solicitação Entre Sites (CSRF). **Recomendações** Para o Volmarg Personal Management System versão 1.4.65, considere atualizar o atributo de cookie SameSite para um valor mais seguro, como `Lax` ou `Strict`, para mitigar o risco de ataques CSRF. Como solução de contorno temporária, restrinja o acesso a informações sensíveis e funções que podem ser executadas por meio de ataques CSRF até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** slabiak Appointment Scheduler versão 1.0.5 **Descrição** Uma vulnerabilidade de redirecionamento aberto (Open Redirect) do tipo “Host Header Poisoning” permite que um invasor remoto redirecione usuários para um site malicioso, levando a possíveis roubos de credenciais, distribuição de malware ou outras atividades maliciosas. **Recomendações** Para o slabiak Appointment Scheduler versão 1.0.5, considere desativar a funcionalidade de redirecionamento aberto até que uma correção esteja disponível. Restrinja o acesso ao agendador para minimizar o risco de exploração. Evite usar o agendador até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** NOSH version 4a5cfdb **Description** The issue allows stored XSS via the create user page. For example, a first name (of a physician, assistant, or billing user) can have a JavaScript payload that is executed upon visiting the "/users/2/1" page. This may allow attackers to steal Protected Health Information because the product is for health charting. **Recommendations** For version 4a5cfdb, consider disabling the create user page functionality until a patch is available to prevent stored XSS attacks. Restrict access to the "/users/2/1" page to minimize the risk of exploitation. Avoid using the `first name` field in the create user page until the issue is resolved.