Highduckboy81

Nome do software vulnerável e versões afetadas: @dapperduckling/keycloak-connector-server versões anteriores à 2.5.5 Descrição: Foi descoberta uma vulnerabilidade de Cross-Site Scripting (XSS) refletido no fluxo de autenticação do aplicativo devido à sanitização inadequada dos parâmetros da URL. Isso permite que um invasor crie uma URL maliciosa para executar JavaScript arbitrário no navegador de uma vítima que acesse o link. Qualquer aplicativo que utilize essa biblioteca de autenticação está vulnerável, e os usuários correm risco se forem induzidos a clicar em um link malicioso criado para esse fim. Recomendações: Para versões anteriores à 2.5.5, atualize para a versão 2.5.5 ou posterior para garantir a sanitização e o escape adequados das entradas do usuário nos parâmetros de URL afetados. Se a atualização não for possível imediatamente, considere as seguintes soluções alternativas: - Utilize um Web Application Firewall (WAF) para bloquear solicitações maliciosas contendo parâmetros de URL suspeitos. - Aplique validação de entrada e escape diretamente na camada de middleware ou proxy reverso do aplicativo, visando especificamente os parâmetros afetados.