Hades484

**Nome do software vulnerável e versões afetadas: Versões do X2engine X2CRM anteriores à 7.1 Descrição: A vulnerabilidade permite que invasores remotos obtenham informações confidenciais injetando scripts da Web ou HTML arbitrários através dos campos `First Name` e `Last Name` na página “/index.php/contacts/create”. Trata-se de uma vulnerabilidade de Cross Site Scripting (XSS). Recomendações: Para versões anteriores à 7.1, atualize para uma versão que contenha uma correção para este problema, a fim de evitar a exploração. Como solução temporária, considere restringir a entrada nos campos `First Name` e `Last Name` para minimizar o risco de injeção de scripts arbitrários.

**Nome do software vulnerável e versões afetadas** X2Engine X2CRM versão 7.1 **Descrição** A vulnerabilidade permite que invasores remotos obtenham informações confidenciais ao injetar scripts da Web ou HTML arbitrários através do campo `Comment` no endpoint da API “/profile/activity”. Isso pode levar à divulgação de dados confidenciais. **Recomendações** Para a versão 7.1, atualize o software para uma versão que inclua uma correção para este problema ou, como solução temporária, considere restringir o acesso à página “/profile/activity” para minimizar o risco de exploração. Evite usar o campo `Comment` na página afetada até que o problema seja resolvido.