Harrison Daley

**Nome do software vulnerável e versões afetadas** Issuetrak versão 17.1 **Descrição** Foi identificada uma vulnerabilidade de injeção de HTML que poderia ser acionada por um usuário autenticado. Marcações HTML poderiam ser adicionadas aos comentários dos tickets e, ao serem enviadas, seriam exibidas nos e-mails enviados a todos os usuários envolvidos nesse ticket. **Recomendações** Para a versão 17.1 do Issuetrak, considere restringir a capacidade de adicionar marcação HTML aos comentários até que uma correção esteja disponível. Como solução alternativa temporária, considere validar e sanitizar as entradas do usuário nos comentários para impedir que código HTML malicioso seja executado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Issuetrak versão 17.1 **Descrição** Foi identificada uma vulnerabilidade de manipulação de campo oculto que pode ser acionada por um usuário autenticado. Quando um usuário autenticado envia um ticket, a solicitação pode ser interceptada e modificada por meio de um proxy. O solicitante do ticket pode ser alterado do solicitante original para outro usuário na mesma aplicação, o que a aplicação então aceita. **Recomendações** Para a versão 17.1 do Issuetrak, considere desativar o recurso de envio de tickets até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de manipulação de campos ocultos. Restrinja o acesso à funcionalidade de modificação do proxy para minimizar o risco de interceptação e modificação de solicitações de tickets. Evite usar o recurso de envio de tickets com usuários não confiáveis ou não verificados até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.