Mqt

**Nome do software vulnerável e versões afetadas** Versões anteriores à 4.0 do BigProf Online Invoicing System **Descrição** O problema decorre da sanitização inadequada de campos para caracteres HTML quando um administrador cria um novo grupo usando o endpoint “admin/pageEditGroup.php”, resultando em Stored XSS. Embora um invasor precise de privilégios administrativos para criar a carga maliciosa, a falta de proteção CSRF no endpoint responsável pela criação do grupo representa um risco significativo. **Recomendações** Para versões anteriores à 4.0, atualize para a versão 4.0 ou posterior para resolver o problema. Como solução temporária, considere implementar proteção CSRF no endpoint “admin/pageEditGroup.php” e garantir a sanitização adequada dos campos para caracteres HTML, a fim de prevenir ataques Stored XSS. Restrinja o acesso ao endpoint “admin/pageEditGroup.php” para minimizar o risco de exploração.