Mayank Mehra

**Nome do software vulnerável e versões afetadas** Versões de outubro anteriores à 3.5.15 **Descrição** O cabeçalho X-October-Request-Handler não sanitiza o nome do manipulador AJAX e permite que HTML sem escape seja refletido de volta. Não há impacto, pois essa vulnerabilidade não pode ser explorada por meio de interações normais do navegador. Esse valor não escapado só é detectável ao usar uma ferramenta de interceptação de proxy. **Recomendações** Para versões anteriores à 3.5.15, atualize para a versão 3.5.15 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao cabeçalho X-October-Request-Handler para minimizar o risco de exploração.