Fa1C0N1

**Nome do software vulnerável e versões afetadas** Landray EKP versão 12.0.9.R.20160325 **Descrição** Uma vulnerabilidade de tipo cross-site scripting (XSS) armazenada no componente /sys/attachment/uploaderServlet permite que invasores executem scripts da Web ou HTML arbitrários por meio de um arquivo SVG, SHTML ou MHT especialmente criado. **Recomendações** Para o Landray EKP versão 12.0.9.R.20160325, considere desativar o componente /sys/attachment/uploaderServlet até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a este componente para minimizar o risco de execução de scripts web ou HTML arbitrários. Evite usar o uploaderServlet para lidar com arquivos SVG, SHTML ou MHT até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.