Loca1Gh0S7

**Nome do software vulnerável e versões afetadas** Mods para HESK, versões 3.1.0 a 2019.1.0 **Descrição** A vulnerabilidade permite que invasores remotos não autenticados se apropriem da sessão de um usuário do helpdesk por meio de um ataque XSS armazenado. Isso pode ocorrer quando um usuário com privilégios suficientes para alterar a imagem da página de login abre um ticket malicioso. **Recomendações** Para as versões 3.1.0 a 2019.1.0, considere restringir o acesso à funcionalidade de alteração da imagem da página de login até que uma correção esteja disponível. Como solução alternativa temporária, evite abrir tickets criados especificamente para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Mods para HESK, versões 3.1.0 a 2019.1.0 **Descrição** Uma vulnerabilidade de injeção SQL cega baseada em tempo permite que invasores remotos não autenticados recuperem informações do banco de dados por meio de um ticket. **Recomendações** Para as versões 3.1.0 a 2019.1.0, atualize para uma versão que contenha uma correção para essa vulnerabilidade a fim de evitar a exploração.

**Nome do software vulnerável e versões afetadas** Mods para HESK, versões 3.1.0 a 2019.1.0 **Descrição** A vulnerabilidade permite que um usuário com privilégios execute código no servidor por meio de um ticket, devido a um controle de acesso inadequado dos recursos enviados. **Recomendações** Para as versões 3.1.0 a 2019.1.0, atualize para uma versão que inclua controle de acesso adequado para os recursos enviados, a fim de impedir a execução de código.