Lyf123Lyf

**Nome do software vulnerável e versões afetadas** OFCMS versão 1.1.4 **Descrição** Foi detectada uma vulnerabilidade de tipo cross-site scripting (XSS) no OFCMS. A vulnerabilidade é explorada por meio do endpoint da API `/admin/comn/service/update.json`. **Recomendações** Para a versão 1.1.4 do OFCMS, como solução temporária, considere restringir o acesso ao endpoint da API `/admin/comn/service/update.json` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OFCMS versão 1.1.4 **Descrição** O problema está relacionado a permissões inseguras configuradas no parâmetro `user id` no arquivo `SysUserController.java`, permitindo que invasores acessem e modifiquem arbitrariamente as informações pessoais dos usuários. **Recomendações** Para a versão 1.1.4 do OFCMS, considere restringir o acesso ao `SysUserController.java` para minimizar o risco de exploração. Evite usar o parâmetro `user id` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OFCMS versão 1.1.4 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) que permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada na caixa de texto `Comment` no endpoint da API “/ofcms/company-c-47”. **Recomendações** Para a versão 1.1.4 do OFCMS, como solução temporária, considere desativar a funcionalidade de comentários ou restringir o acesso ao endpoint “/ofcms/company-c-47” até que um patch esteja disponível. Evite usar a caixa de texto `Comment` no endpoint afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Eova versão 1.6.0 **Descrição** Uma vulnerabilidade de cross-site scripting armazenada na função “Adicionar um botão” permite que invasores executem scripts da Web ou HTML arbitrários por meio de uma carga maliciosa injetada na caixa de texto `nome do botão`. **Recomendações** Para a versão 1.6.0 do Eova, como solução temporária, considere desativar a função “Adicionar um botão” até que uma correção esteja disponível. Restrinja o acesso à caixa de texto “nome do botão” para minimizar o risco de exploração. Evite usar a caixa de texto “nome do botão” na função afetada até que a vulnerabilidade seja resolvida.