Cooliscool

**Nome do software vulnerável e versões afetadas** OrangeHRM versão v4.10.1 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) armazenada no componente addNewPost permite que invasores executem scripts da web ou HTML arbitrários por meio de uma solicitação POST maliciosa ao endpoint `/api/v1/addNewPost`, utilizando parâmetros vulneráveis como `post content`. Isso permite que invasores injetem scripts maliciosos, o que pode levar a acesso não autorizado ou roubo de dados. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais. **Recomendações** Para a versão v4.10.1 do OrangeHRM, como solução temporária, considere desativar o componente `addNewPost` até que um patch esteja disponível. Restrinja o acesso ao endpoint vulnerável para minimizar o risco de exploração. Evite usar o parâmetro `post content` no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Ice Hrm versão 30.0.0.OS **Descrição** O problema está relacionado a várias vulnerabilidades de cross-site scripting (XSS) refletido. Essas vulnerabilidades são exploradas por meio dos parâmetros `key` e `fm` no componente login.php. **Recomendações** Para o Ice Hrm versão 30.0.0.OS, evite usar os parâmetros `key` e `fm` no componente login.php até que uma correção esteja disponível. Como solução alternativa temporária, considere restringir o acesso ao componente login.php para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Ice Hrm versão 30.0.0.OS **Descrição** Foi identificada uma vulnerabilidade de cross-site scripting (XSS) refletido no painel de controle do usuário atual, permitindo que invasores comprometam as credenciais da sessão por meio da interação do usuário com um link malicioso. A vulnerabilidade é explorada através do parâmetro `m`. **Recomendações** Para o Ice Hrm versão 30.0.0.OS, considere restringir o acesso ao Painel de Controle ou desativar o parâmetro `m` para minimizar o risco de exploração até que uma correção esteja disponível. Evite usar o parâmetro `m` no Painel de Controle afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Ice Hrm versão 30.0.0.OS **Descrição** Uma vulnerabilidade de script entre sites (XSS) armazenada permite que invasores roubem cookies por meio de uma carga maliciosa inserida no campo `Nome`. Isso pode ser explorado para obter acesso não autorizado às sessões dos usuários. **Recomendações** Para o Ice Hrm versão 30.0.0.OS, considere restringir a entrada no campo `Nome` para impedir a inserção de cargas maliciosas até que uma correção esteja disponível. Como solução temporária, monitore de perto as sessões dos usuários em busca de sinais de acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.