Bertrand Lorente Yáñez

Nome do Software Vulnerável e Versões Afetadas: h6web (versões afetadas não especificadas) Descrição: O problema está relacionado a uma vulnerabilidade de Referência Direta a Objeto Inseguro (IDOR). Ela permite que um atacante autenticado acesse informações de outros usuários ao realizar uma requisição POST e modificar o parâmetro `pkrelated` no endpoint "/h6web/ha datos hermano.php" para referenciar outro usuário. Além disso, a primeira requisição também pode permitir que o atacante se passe por outros usuários, resultando na execução de todas as requisições subsequentes com os privilégios do usuário cuja identidade foi assumida. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Versões do h6web (versões afetadas não especificadas) Descrição: Trata-se de uma falha de Cross-Site Scripting (XSS) Refletido que pode permitir que um atacante injete código JavaScript malicioso em uma URL. Quando um usuário acessa essa URL, o código injetado é executado em seu navegador, potencialmente levando ao roubo de informações sensíveis, roubo de identidade ou à execução de ações não autorizadas em nome do usuário afetado. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.