Ocssor

**Nome do Software Vulnerável e Versões Afetadas** Masa CMS versões 7.2.8 e anteriores Masa CMS versões 7.3.1 a 7.3.13 Masa CMS versões 7.4.0-alpha.1 a 7.4.8 Masa CMS versões 7.5.0 a 7.5.1 **Descrição** O Masa CMS, uma plataforma de Gerenciamento de Conteúdo Corporativo de código aberto, é suscetível a uma vulnerabilidade de Cross-Site Scripting (XSS). O problema ocorre quando um valor não sanitizado do parâmetro de consulta da URL `ajax` é incluído diretamente na seção `<head>` da página HTML. Isso permite que um atacante execute scripts arbitrários dentro da sessão do usuário, potencialmente levando a Sequestro de Sessão, Roubo de Dados, Defacement e Distribuição de Malware. O parâmetro `ajax` é vulnerável à inclusão de código malicioso. **Recomendações** Masa CMS versão 7.2.9 ou posterior Masa CMS versão 7.3.14 ou posterior Masa CMS versão 7.4.9 ou posterior Masa CMS versão 7.5.2 ou posterior Configure uma regra de Web Application Firewall (WAF), como o ModSecurity, para bloquear requisições contendo caracteres comuns de payload XSS no parâmetro de consulta `ajax`. Implemente sanitização no lado do servidor usando middleware para remover ou escapar caracteres perigosos do parâmetro `ajax` antes que ele alcance a lógica de renderização vulnerável.