Harris · Harris Ormed Self Service · CVE-2019-18626
**Nome do software vulnerável e versões afetadas:
Versões do Harris Ormed Self Service anteriores à 2019.1.4
Descrição:
A vulnerabilidade permite que um usuário autenticado visualize formulários W-2 pertencentes a outros usuários por meio de um valor `empNo` arbitrário na URI “ORMEDMIS/Data/PY/T4W2Service.svc/RetrieveW2EntriesForEmployee”, expondo assim informações confidenciais, incluindo informações fiscais dos funcionários, números de previdência social, endereços residenciais e muito mais.
Recomendações:
Para versões anteriores à 2019.1.4, atualize para a versão 2019.1.4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à URI “ORMEDMIS/Data/PY/T4W2Service.svc/RetrieveW2EntriesForEmployee” para minimizar o risco de exploração.
Evite usar valores arbitrários de `empNo` na URI afetada até que o problema seja resolvido.