Regularus3R

**Nome do software vulnerável e versões afetadas** Versões do Portabilis i-Educar até a 2.9 **Descrição** Foi detectada uma vulnerabilidade no Portabilis i-Educar, afetando uma funcionalidade desconhecida do arquivo /usuarios/tipos/2 do componente Página Tipo de Usuário. A manipulação do argumento `name` leva a um ataque de cross-site scripting. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Para as versões do Portabilis i-Educar até a 2.9, como solução temporária, considere restringir o acesso ao arquivo /usuarios/tipos/2 do componente Tipo de Usuário Page até que um patch esteja disponível. Evite usar o argumento `name` na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Portabilis i-Educar versão 2.9 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting refletido na funcionalidade padrão de envio de documentação, permitindo que um invasor crie URLs maliciosas com código JavaScript arbitrário no parâmetro `titulo documento`. Isso possibilita a manipulação de URLs para injetar scripts maliciosos. **Recomendações** Para o Portabilis i-Educar versão 2.9, como solução temporária, considere restringir o acesso à funcionalidade de upload de documentação até que um patch esteja disponível. Evite usar o parâmetro `titulo documento` no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.