Ari034

**Nome do software vulnerável e versões afetadas** LiveZilla Live Chat versão 8.0.1.3 **Descrição** Existe uma vulnerabilidade de injeção cega de JavaScript no parâmetro `name` do arquivo chat.php. Isso pode levar a uma escalada de privilégios, passando de acesso não autenticado para acesso de nível de usuário, resultando na apropriação total da conta. A vulnerabilidade permite a obtenção de nomes de usuário e senhas de funcionários do suporte técnico, que estão armazenados no banco de dados, devido a uma vulnerabilidade XSS armazenada. Isso afeta a URI móvel/chat por meio dos parâmetros `lgn` e `psswrd`. **Recomendações** Para o LiveZilla Live Chat versão 8.0.1.3, considere desativar o parâmetro `name` no arquivo chat.php como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à URI do chat móvel para minimizar o risco de exploração. Evite usar os parâmetros `lgn` e `psswrd` no endpoint da API afetado até que a vulnerabilidade seja resolvida.