Faris Almutairi

**Nome do Software Vulnerável e Versões Afetadas** Ellucian Banner Self-Service versões anteriores ao lançamento April T2 (2025-04-23) **Description** Um problema de cross-site scripting refletido existe onde atacantes não autenticados podem executar JavaScript arbitrário no navegador de uma vítima. Isso é alcançado injetando entrada não sanitizada através do parâmetro de requisição `toDateFormat` no endpoint 'dateConverter'. Atacantes podem criar uma URL maliciosa direcionada a este endpoint para roubar cookies de sessão ou realizar outras ações maliciosas no contexto da sessão do navegador da vítima. **Recommendations** Atualize para o lançamento April T2 (2025-04-23) ou uma versão mais recente. Evite usar o parâmetro `toDateFormat` no endpoint 'dateConverter' até que a atualização seja aplicada.