Odransfield

**Nome do Software Vulnerável e Versões Afetadas** Versões 11.0.7 e anteriores do HAX CMS (PHP) Versões 11.0.12 e anteriores do HAX CMS (NodeJS) **Descrição** O HAX CMS não inclui cabeçalhos para impedir que sites carreguem o aplicativo dentro de um iframe. Isso afeta tanto o CMS quanto os sites gerados. Um atacante não autenticado pode carregar funcionalidades sensíveis, como a página de login, dentro de um iframe, permitindo um ataque de redirecionamento de interface (clickjacking). Isso pode ser usado para realizar ataques de engenharia social para coagir usuários a realizar ações não intencionais. **Recomendações** Versões 11.0.7 e anteriores do HAX CMS (PHP): Atualize para a versão 11.0.8 ou posterior. Versões 11.0.12 e anteriores do HAX CMS (NodeJS): Atualize para a versão 11.0.13 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do HAX CMS PHP anteriores a 11.0.0 **Descrição** A vulnerabilidade permite que um atacante autenticado crie um site HAX com um bloco de site que pode carregar outro site em um iframe, potencialmente levando a ataques de phishing. Quando um usuário visita o site HAX malicioso, seu navegador consultará a URL fornecida, que pode ser controlada pelo atacante. Isso pode ser explorado ao convencer outro usuário a visitar o site malicioso, permitindo que o atacante colete credenciais. **Recomendações** Para versões anteriores a 11.0.0, atualize para a versão 11.0.0 para resolver o problema. Como solução temporária, considere restringir o uso do recurso de bloco de site no editor de sites HAX para minimizar o risco de exploração.