Dawid Małecki

**Nome do software vulnerável e versões afetadas** Versões do software anteriores à 11.1.x **Descrição** O aplicativo está vulnerável a um ataque de Stored Cross-Site Scripting (XSS) no endpoint “/sofer/DocumentService.asc/SaveAnnotation”, onde os dados de entrada transmitidos via método POST nos parâmetros `author` e `text` não são adequadamente sanitizados e validados. Isso permite a injeção de código JavaScript malicioso. A vulnerabilidade foi identificada na função de adição de novas anotações durante a edição do conteúdo do documento. **Recomendações** Para versões anteriores à 11.1.x, atualize para uma versão superior à 11.1.x para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/sofer/DocumentService.asc/SaveAnnotation” ou desativar a função de adição de novas anotações até que um patch esteja disponível. Evite usar os parâmetros `author` e `text` no endpoint da API afetado até que o problema seja resolvido.