Hackoclipse

**Name of the Vulnerable Software and Affected Versions** Trippo ResponsiveFilemanager versions 9.14.0 and earlier **Description** A Cross Site Scripting issue allows a remote attacker to execute arbitrary code via the `sort by` parameter in the "dialog.php" file. This enables the attacker to inject malicious scripts into the application. **Recommendations** For Trippo ResponsiveFilemanager versions 9.14.0 and earlier, consider restricting access to the `dialog.php` file or disabling the `sort by` parameter to minimize the risk of exploitation until a fix is available.

**Nome do software vulnerável e versões afetadas: Versões do Responsive Filemanager até a 9.14.0 Descrição: O problema está relacionado à falta de sanitização da variável de sessão `$ SESSION[‘RF’][“view type”]` na página dialog.php. Isso permite ataques XSS armazenados se um invasor abrir o arquivo ajax calls.php, usar a ação “view” e inserir uma carga maliciosa no parâmetro `type`, retornando em seguida à página dialog.php. A vulnerabilidade ocorre porque o arquivo ajax calls.php também pode definir a variável `$ SESSION[‘RF’][“view type”]` sem sanitizá-la. Recomendações: Para versões do Responsive Filemanager até a 9.14.0, considere desativar a página `ajax calls.php` ou restringir o acesso a ela até que um patch esteja disponível. Como solução temporária, evite usar a ação “view” em `ajax calls.php` e restrinja o uso do parâmetro `type` para impedir a exploração.