João Silveira

**Nome do software vulnerável e versões afetadas** MHA Sistemas arMHAzena versão 9.6.0.0 **Descrição** Foi identificada uma vulnerabilidade crítica no componente Página de Cadastro, permitindo a execução de scripts entre sites (cross-site scripting) por meio da manipulação do argumento `Query`. Essa vulnerabilidade pode ser explorada remotamente. O fornecedor foi contatado sobre esta divulgação, mas não respondeu. **Recomendações** Para a versão 9.6.0.0, como solução temporária, considere restringir o acesso ao componente Página de Cadastro até que um patch esteja disponível. Evite usar o argumento `Query` nas áreas afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MHA Sistemas arMHAzena versão 9.6.0.0 **Descrição** Foi encontrada uma vulnerabilidade crítica no componente Executa Page, afetando código desconhecido. A manipulação do argumento `Companhia/Planta/Agente de/Agente até` leva à injeção de SQL. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para a versão 9.6.0.0, considere restringir o acesso ao componente Executa Page até que um patch esteja disponível. Como solução temporária, evite usar o argumento `Companhia/Planta/Agente de/Agente até` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.