Hailey

Name of the Vulnerable Software and Affected Versions: OA System versions prior to 2025.01.01 Description: A cross-site scripting (XSS) issue allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the `title` parameter at the "/daymanager/daymanageabilitycontroller.java" endpoint. Recommendations: For versions prior to 2025.01.01, update to version 2025.01.01 or later to resolve the issue. As a temporary workaround, consider restricting access to the "/daymanager/daymanageabilitycontroller.java" endpoint to minimize the risk of exploitation. Avoid using the `title` parameter in the affected endpoint until the issue is resolved.

Nome do Software Vulnerável e Versões Afetadas: Versões do Sistema OA anteriores a 2025.01.01 Descrição: Uma vulnerabilidade de cross-site scripting (XSS) permite que atacantes executem scripts web arbitrários ou HTML por meio de um payload manipulado injetado no parâmetro `outtype` no endpoint "/address/AddrController.java". Recomendações: Para versões anteriores a 2025.01.01, atualize para a versão 2025.01.01 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `/address/AddrController.java` para minimizar o risco de exploração. Evite usar o parâmetro `outtype` no endpoint afetado até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: Versões do Sistema OA anteriores a 2025.01.01 Descrição: Uma vulnerabilidade de cross-site scripting (XSS) permite que atacantes executem scripts web arbitrários ou HTML por meio de um payload manipulado injetado no parâmetro `title` no endpoint "/inform/InformManageController.java". Recomendações: Para versões anteriores a 2025.01.01, atualize para a versão 2025.01.01 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `/inform/InformManageController.java` ou validar e sanitizar o parâmetro `title` para prevenir entradas maliciosas.

Nome do Software Vulnerável e Versões Afetadas: Versões do Sistema OA anteriores a 2025.01.01 Descrição: Uma vulnerabilidade de Cross-Site Scripting (XSS) permite que atacantes executem scripts web arbitrários ou HTML através de um payload manipulado injetado no parâmetro `password` no endpoint "/mail/MailController.java". Recomendações: Para versões anteriores a 2025.01.01, atualize para a versão 2025.01.01 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso ao endpoint `/mail/MailController.java` para minimizar o risco de exploração. Evite utilizar o parâmetro `password` no endpoint afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** hailey888 oa system versões até 2025.01.01 **Descrição** Uma vulnerabilidade foi encontrada no hailey888 oa system, classificada como problemática. O problema afeta a função Save do arquivo cn/gson/oasys/controller/mail/MailController.java do componente Backend. A manipulação do argumento `MailNumberId` resulta em cross-site scripting. O ataque pode ser lançado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. **Recomendações** Como solução temporária, considere desativar a função Save do arquivo MailController.java até que um patch esteja disponível. Restrinja o acesso ao argumento `MailNumberId` no componente Backend afetado para minimizar o risco de exploração. Evite utilizar o argumento `MailNumberId` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: hailey888 oa system versões até 2025.01.01 Descrição: Foi encontrada uma vulnerabilidade no hailey888 oa system, afetando a função `addandchangeday` do arquivo `cn/gson/oass/controller/daymanager/DaymanageController.java` do componente Backend. A manipulação do argumento `scheduleList` resulta em cross-site scripting. É possível lançar o ataque remotamente. O exploit foi divulgado ao público e pode ser utilizado. Este produto utiliza um rolling release para fornecer entrega contínua. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: hailey888 oa system versões até 2025.01.01 Descrição: Foi identificada uma vulnerabilidade na função `outAddress` do arquivo `cn/gson/oass/controller/address/AddrController.java` do componente Backend. A manipulação do argumento `outtype` resulta em cross-site scripting. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Este produto adota a abordagem de lançamentos contínuos para fornecer entrega contínua. Portanto, detalhes de versão para lançamentos afetados e atualizados não estão disponíveis. Recomendações: Como solução alternativa temporária, considere restringir o acesso à função `outAddress` da classe `AddrController` até que um patch esteja disponível. Evite utilizar o argumento `outtype` no componente Backend afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** hailey888 oa system até 2025.01.01 **Descrição** Uma vulnerabilidade foi encontrada no hailey888 oa system, afetando a função `loginCheck` do arquivo `cn/gson/oasys/controller/login/LoginsController.java` do componente Frontend. A manipulação do argumento `Username` resulta em cross-site scripting. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Este produto utiliza entrega contínua com lançamentos contínuos (rolling releases), portanto não há detalhes de versão das releases afetadas ou atualizadas disponíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida de contorno temporária, considere restringir o uso da função `loginCheck` ou do argumento `Username` no componente afetado para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** hailey888 oa system até 2025.01.01 **Descrição** Foi identificado um problema no componente de Backend, afetando especificamente a função `testMess` do arquivo `InformManageController.java`. A manipulação do argumento `menu` resulta em Cross-Site Scripting. Este problema pode ser explorado remotamente. **Recomendações** Para o hailey888 oa system até 2025.01.01, como medida paliativa temporária, considere restringir o acesso à função `testMess` do arquivo `InformManageController.java` para minimizar o risco de exploração. Adicionalmente, evite utilizar o argumento `menu` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.