Orlandocompc

**Name of the Vulnerable Software and Affected Versions** Horilla versions prior to 1.4.0 **Description** Horilla is a Human Resource Management System (HRMS). A stored cross-site scripting (XSS) issue exists in the ticket comment editor for versions prior to 1.4.0. An authenticated user with limited privileges can execute arbitrary JavaScript code in an administrator’s browser. This could allow for the theft of cookies and CSRF tokens, potentially leading to session hijacking. The issue affects the ticket comment editor functionality. **Recommendations** Update to version 1.4.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Horilla anteriores à 1.4.0 **Descrição** O Horilla, um Sistema de Gestão de Recursos Humanos (HRMS), apresenta uma falha em que o processo de upload de arquivos carece de validação no lado do servidor. A validação no lado do cliente pode ser contornada, permitindo que um invasor faça o upload de um documento HTML executável. Quando um usuário privilegiado visualiza este arquivo, scripts incorporados são executados, enviando cookies de sessão ou outras credenciais para um endpoint controlado pelo invasor. O invasor pode então usar essas credenciais para se passar pelo administrador. O fluxo vulnerável envolve o upload de um arquivo e a posterior visualização do conteúdo carregado por um usuário privilegiado. O ataque baseia-se em contornar as verificações no lado do cliente e explorar a falta de imposição no lado do servidor. **Recomendações** Atualize para a versão 1.4.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Horilla anteriores à 1.4.0 **Descrição** O Horilla é um Sistema de Gestão de Recursos Humanos (HRMS). A sanitização inadequada na aplicação permite Cross-Site Scripting (XSS) por meio de arquivos SVG carregados e tags `<embed>` permitidas. Isso pode levar à execução de JavaScript quando os usuários visualizam conteúdo afetado, como anúncios, potencialmente resultando em tomada de controle de conta administrativa. **Recomendações** Atualize para a versão 1.4.0 ou posterior.