Danhle5402

**Nome do Software Vulnerável e Versões Afetadas** NamelessMC versão 2.2.4 **Description** Um problema de Cross-Site Scripting (XSS) Refletido existe onde a aplicação reflete a entrada fornecida pelo usuário na resposta HTML sem a devida sanitização ou codificação de saída. Isso ocorre no endpoint "/index.php?route=/queries/user/" através do parâmetro `id`. Um invasor pode criar uma URL maliciosa contendo código JavaScript que é executado no navegador da vítima, podendo levar ao sequestro de sessão, ataques de phishing ou manipulação do conteúdo da página. **Recommendations** Atualize para a versão 2.2.5. Como medida paliativa temporária, evite usar o parâmetro `id` no endpoint "/index.php?route=/queries/user/" até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Masa CMS versões anteriores a 7.2.10 Masa CMS versões anteriores a 7.3.15 Masa CMS versões anteriores a 7.4.10 Masa CMS versões anteriores a 7.5.3 **Descrição** O manuseio inadequado de URLs relativas ao esquema permite um redirecionamento aberto. A aplicação interpreta incorretamente caminhos que começam com barras duplas (//) como caminhos internos e não valida o destino do redirecionamento antes do processamento. Isso permite que um invasor crie uma URL no domínio confiável que redireciona usuários para um site externo, o que pode ser usado para phishing ou para expor tokens e dados sensíveis durante fluxos de autenticação. **Recomendações** Atualize para a versão 7.2.10. Atualize para a versão 7.3.15. Atualize para a versão 7.4.10. Atualize para a versão 7.5.3. Rejeite ou reescreva parâmetros de redirecionamento que comecem com //. Desative o `forceDirectoryStructure` se for compatível com a implantação.