Etienne Supra

**Nome do software vulnerável e versões afetadas** Interface do usuário (UI) do Incognito Service Activation Center (SAC), versão 14.11 **Descrição** Uma vulnerabilidade de script entre sites (XSS) armazenada na API Create Customer permite que invasores autenticados executem scripts da web ou HTML arbitrários ao injetar uma carga maliciosa no parâmetro `lastName`. Isso permite que invasores possam manipular o comportamento do aplicativo web. **Recomendações** Para a interface do usuário do Incognito Service Activation Center (SAC) versão 14.11, considere restringir o acesso à API Create Customer até que uma correção esteja disponível e evite usar o parâmetro `lastName` neste endpoint da API para minimizar o risco de exploração.