Dtmp3St

**Nome do software vulnerável e versões afetadas** Ellevo versão 6.2.0.38160 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) refletido permite que invasores executem código arbitrário no contexto do navegador de um usuário por meio de uma carga maliciosa ou URL especialmente criada. Esse problema permite que invasores executem qualquer código no navegador de um usuário. **Recomendações** Para a versão 6.2.0.38160 do Ellevo, como solução temporária, considere restringir o acesso a endpoints de API ou URLs potencialmente vulneráveis que possam ser usados para entregar uma carga maliciosa até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Ellevo versão 6.2.0.38160 **Descrição** Uma falha no Ellevo permite que um invasor remoto escale privilégios por meio do endpoint “/api/usuario/cadastrodesuplente”. Isso pode resultar em acesso não autorizado. **Recomendações** Para a versão 6.2.0.38160 do Ellevo, aplique a correção imediatamente e revise os controles de acesso para mitigar o risco de escalonamento de privilégios. Como solução temporária, considere restringir o acesso ao endpoint “/api/usuario/cadastrodesuplente” até que uma correção esteja disponível.