Patryk Bogusz

**Nome do software vulnerável e versões afetadas** Versões do CloverDX anteriores à 5.7.1 Versões do CloverDX da 5.7.1 à 5.9.0 **Descrição** Uma vulnerabilidade do tipo Cross Site Request Forgery (CSRF) no Console do Servidor do CloverDX permite que invasores remotos executem qualquer ação na qualidade do usuário conectado, incluindo a execução de scripts. **Recomendações** Para versões anteriores à 5.7.1, atualize para o CloverDX 5.7.1 ou posterior. Para as versões 5.7.1 a 5.9.0, atualize para o CloverDX 5.10, CloverDX 5.9.1 ou CloverDX 5.8.2.

**Nome do software vulnerável e versões afetadas** CloverDX Server, versões 5.7.0 a 5.9.0 CloverDX, versões 5.7.0 a 5.8.1 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio do parâmetro `sessionToken` de vários métodos na “Simple HTTP API”. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 5.7.0 a 5.8.1, atualize para a versão 5.9.1 ou 5.10. Para a versão 5.9.0, atualize para a versão 5.9.1 ou 5.10. Como solução temporária, considere restringir o acesso ao parâmetro `sessionToken` na API HTTP Simples até que um patch esteja disponível.