Episerver · Pi Server · CVE-2023-32192
**Nome do software vulnerável e versões afetadas**
Versões do API Server anteriores às versões corrigidas, incluindo master, release/v2.8, release/v2.8.s3, release/v2.7, release/v2.7.s3 e release/v2.6, com os seguintes commits específicos: 4fd7d82, 69b3c2b, a3b9e37, 4e102cf, 97a10a3 e 4df268e.
**Descrição**
Foi identificada uma vulnerabilidade no endpoint da API pública do API Server, permitindo que um cross-site scripting (XSS) não autenticado seja explorado. Isso permite que um invasor execute código JavaScript arbitrário no navegador da vítima. O vetor de ataque é um XSS refletido, no qual o servidor de API propaga cargas maliciosas da entrada do usuário para a interface do usuário, renderizando a saída. Por exemplo, uma URL maliciosa pode ser renderizada em um script que é executado em uma página.
**Recomendações**
Para resolver o problema, atualize o servidor API para uma versão corrigida, incluindo os commits específicos: 4fd7d82, 69b3c2b, a3b9e37, 4e102cf, 97a10a3 e 4df268e, para os respectivos ramos: master, release/v2.8, release/v2.8.s3, release/v2.7, release/v2.7.s3 e release/v2.6.
Como solução temporária, considere restringir o acesso ao endpoint público da API do servidor até que um patch seja aplicado.
Além disso, considere codificar a entrada proveniente da URL da solicitação antes de adicioná-la à resposta e escapar a entrada da solicitação alterando a construção da URL para usar `url.URL` e escapando variáveis JavaScript e CSS com codificação de atributos, conforme definido pela OWASP.