Arianvp

**Nome do software vulnerável e versões afetadas** Versões do wire-server anteriores à 2.106.0 **Descrição** O problema diz respeito ao cabeçalho CORS `Access-Control-Allow-Origin` definido pelo `nginz` para todos os subdomínios de `.wire.com`, incluindo `wire.com`. Essa configuração permite que um invasor explore um vetor XSS em qualquer subdomínio para acessar a API do Wire usando o cookie do usuário. **Recomendações** Para mitigar o problema, limite o cabeçalho `Access-Control-Allow-Origin` a aplicativos que realmente necessitem do cookie, como páginas de conta, configurações de equipe e o aplicativo web. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.