Hemant Kashyap

**Nome do software vulnerável e versões afetadas** PKP Vendor Open Journal System, versões 2.4.8 a 3.3.8 **Descrição** A vulnerabilidade permite que invasores realizem ataques de cross-site scripting (XSS) refletidos por meio de cabeçalhos HTTP maliciosos. Isso pode levar ao acesso não autorizado ou ao controle de sessões de usuários. **Recomendações** Para as versões 2.4.8 a 3.3.8, como solução temporária, considere restringir o acesso a cabeçalhos HTTP manipulados até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PKP Open Journals System, versões 2.4.8 a 3.3 **Descrição** A vulnerabilidade permite que invasores remotos injetem código arbitrário por meio do cabeçalho `X-Forwarded-Host`, possibilitando ataques de script entre sites (XSS). Isso é feito por meio da injeção no cabeçalho Host. **Recomendações** Para as versões 2.4.8 a 3.3, considere restringir o acesso ao cabeçalho `X-Forwarded-Host` para minimizar o risco de exploração. Como solução temporária, desativar o uso do cabeçalho `X-Forwarded-Host` até que um patch esteja disponível pode ajudar a mitigar o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.