Protozeit

**Nome do Software Vulnerável e Versões Afetadas** Cadwyn versões 5.4.3 e anteriores **Descrição** O Cadwyn é uma ferramenta moderna de versionamento de API pronta para produção e orientada pela comunidade, semelhante ao Stripe, no FastAPI. O parâmetro `version` do endpoint `/docs` é suscetível a um ataque de Cross-Site Scripting (XSS) Refletido. Isso permite que um atacante execute código JavaScript na sessão de um usuário por meio de um ataque de um clique. O código vulnerável está localizado nas funções `swagger dashboard` e `redoc dashboard`, utilizando especificamente a função `get swagger ui html` do FastAPI sem a codificação ou sanitização adequada do parâmetro `version`. A injeção controlada pelo usuário ocorre dentro do contexto de uma tag `<script>`. **Recomendações** Cadwyn versões 5.4.3 e anteriores: Atualize para a versão 5.4.4 ou posterior para resolver este problema.

Nome do Software Vulnerável e Versões Afetadas: Versões do Visionatrix de 1.5.0 a 2.5.0 Descrição: O problema refere-se a um ataque XSS Refletido (Cross-Site Scripting) via o endpoint "/docs/flows", permitindo a tomada de controle total da aplicação e a exfiltração de segredos armazenados na aplicação. Isso se deve ao uso da função `get swagger ui html` do FastAPI, que não codifica ou sanitiza seus argumentos antes de gerar o HTML para a página de documentação Swagger. Qualquer usuário desta aplicação pode ser alvo de um ataque de um clique que pode tomar controle de sua sessão e de todos os segredos que possam estar contidos nela. Recomendações: Para as versões de 1.5.0 a 2.5.0, atualize para a versão 2.5.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "/docs/flows" até que a atualização seja aplicada.