Hss94531

**Nome do Software Vulnerável e Versões Afetadas** SSCMS versão 7.4.0 **Descrição** Um problema de cross-site scripting refletido existe no endpoint de processamento STL. Atacantes podem executar JavaScript arbitrário ao criar payloads de template STL maliciosos que são descriptografados e retornados sem a sanitização adequada. Especificamente, a codificação de saída inadequada no endpoint "/api/stl/actions/dynamic" permite a injeção de JavaScript executável em respostas JSON, o que pode levar ao sequestro de sessão, ataques de phishing e ações não autorizadas realizadas em nome dos usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** SSCMS versão 7.4.0 **Descrição** Existe um problema na tag `stl:sqlContent` onde o atributo `queryString` é passado diretamente para a execução do banco de dados sem parametrização ou sanitização. Isso permite que invasores enviem payloads criptografados para o endpoint '/api/stl/actions/dynamic' para executar instruções SQL arbitrárias. Isso pode levar ao acesso não autorizado ao banco de dados, divulgação de dados, bypass de autenticação, modificação de dados ou comprometimento total do banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.