B3Ta

**Nome do software vulnerável e versões afetadas** SysAid versão 20.3.64 b14 **Descrição** O problema está relacionado a Cross Site Scripting (XSS) e pode ser explorado por meio do URI “/KeepAlive.jsp?stamp=”. Trata-se de um tipo de ataque em que um invasor pode injetar scripts maliciosos em um site, o que pode permitir que ele roube dados do usuário ou assuma o controle da sessão do usuário. **Recomendações** Para a versão 20.3.64 b14 do SysAid, como solução temporária, considere restringir o acesso ao endpoint “/KeepAlive.jsp” até que uma correção esteja disponível. Evite usar o parâmetro `stamp` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SysAid versão 20.3.64 b14 **Descrição** O problema está relacionado à injeção SQL do tipo Blind e Stacker. Ele pode ser explorado por meio de vários pontos de extremidade da API, incluindo “AssetManagementChart.jsp” com os parâmetros `computerID` ou `group1`, “AssetManagementList.jsp” com os parâmetros `computerID` ou `group1` e “AssetManagementSummary.jsp” com o parâmetro `group1`. **Recomendações** Para a versão 20.3.64 b14 do SysAid, considere desativar o acesso aos pontos de extremidade da API vulneráveis, como “AssetManagementChart.jsp”, “AssetManagementList.jsp” e “AssetManagementSummary.jsp”, até que uma correção esteja disponível. Restrinja o uso dos parâmetros `computerID` e `group1` nesses pontos de extremidade para minimizar o risco de exploração.