Hicortab

**Nome do Software Vulnerável e Versões Afetadas** Versões do NamelessMC anteriores à 2.1.3 **Descrição** A vulnerabilidade permite que um administrador adicione um campo extra que os usuários podem preencher, porém os usuários podem injetar código JavaScript neste campo. Este código é ativado quando um membro da equipe visita o perfil do usuário no painel da equipe, permitindo que um atacante execute código JavaScript no computador do membro da equipe. **Recomendações** Para versões anteriores à 2.1.3, atualize para a versão 2.1.3 para resolver o problema. No momento, não há informações sobre outras soluções alternativas para este problema.

**Name of the Vulnerable Software and Affected Versions** NamelessMC versions prior to 2.1.3 **Description** The issue allows an attacker to reset user passwords via the forgot password link. This can be achieved when a user with `admincp.core.emails` or `admincp.users.edit` permissions manually validates a user account, resulting in an empty reset code. An attacker can exploit this by requesting the "http://localhost/nameless/index.php?route=/forgot password/&c=" endpoint and resetting the password, potentially compromising another user's password and taking over their account. **Recommendations** For versions prior to 2.1.3, update to version 2.1.3 to resolve the issue. As a temporary workaround, consider restricting access to the "http://localhost/nameless/index.php?route=/forgot password/&c=" endpoint until the update is applied. Avoid using the forgot password feature for user accounts validated manually by users with `admincp.core.emails` or `admincp.users.edit` permissions until the issue is resolved.