Jeremy Chisamore

**Nome do software vulnerável e versões afetadas** Versões do Webswing anteriores à 20.1.16 Versões do Webswing anteriores à 20.2.19 Versões do Webswing anteriores à 21.1.8 Versões do Webswing anteriores à 21.2.12 Versões do Webswing anteriores à 22.1.3 **Descrição** A vulnerabilidade permite a injeção no cabeçalho X-Forwarded-For. O endereço IP do cliente está associado a uma variável na página de configuração, especificamente a variável `{clientIp}`, que pode ser usada como argumento de inicialização do aplicativo. Essa variável pode ser manipulada por um cliente para armazenar um valor arbitrário, permitindo a injeção de múltiplos argumentos na inicialização da sessão sem sanitização. Sistemas que não utilizam a variável `clientIP` na configuração não são afetados. **Recomendações** Para versões do Webswing anteriores à 20.1.16, atualize para a versão 20.1.16 ou posterior. Para versões do Webswing anteriores à 20.2.19, atualize para a versão 20.2.19 ou posterior. Para versões do Webswing anteriores à 21.1.8, atualize para a versão 21.1.8 ou posterior. Para versões do Webswing anteriores à 21.2.12, atualize para a versão 21.2.12 ou posterior. Para versões do Webswing anteriores à 22.1.3, atualize para a versão 22.1.3 ou posterior. Como solução alternativa temporária, considere restringir o uso da variável `{clientIp}` na página de configuração para minimizar o risco de exploração.