Webswing · Webswing · CVE-2022-34914
**Nome do software vulnerável e versões afetadas**
Versões do Webswing anteriores à 20.1.16
Versões do Webswing anteriores à 20.2.19
Versões do Webswing anteriores à 21.1.8
Versões do Webswing anteriores à 21.2.12
Versões do Webswing anteriores à 22.1.3
**Descrição**
A vulnerabilidade permite a injeção no cabeçalho X-Forwarded-For. O endereço IP do cliente está associado a uma variável na página de configuração, especificamente a variável `{clientIp}`, que pode ser usada como argumento de inicialização do aplicativo. Essa variável pode ser manipulada por um cliente para armazenar um valor arbitrário, permitindo a injeção de múltiplos argumentos na inicialização da sessão sem sanitização. Sistemas que não utilizam a variável `clientIP` na configuração não são afetados.
**Recomendações**
Para versões do Webswing anteriores à 20.1.16, atualize para a versão 20.1.16 ou posterior.
Para versões do Webswing anteriores à 20.2.19, atualize para a versão 20.2.19 ou posterior.
Para versões do Webswing anteriores à 21.1.8, atualize para a versão 21.1.8 ou posterior.
Para versões do Webswing anteriores à 21.2.12, atualize para a versão 21.2.12 ou posterior.
Para versões do Webswing anteriores à 22.1.3, atualize para a versão 22.1.3 ou posterior.
Como solução alternativa temporária, considere restringir o uso da variável `{clientIp}` na página de configuração para minimizar o risco de exploração.