Wesley Cuffee

**Name of the Vulnerable Software and Affected Versions** OPEXUS eCASE Audit versions prior to 11.14.2.0 **Description** OPEXUS eCASE Audit allows an authenticated attacker to save JavaScript as a comment within the `Estimated Staff Hours` field. This JavaScript is then executed when another user accesses the Project Cost tab. This is a stored cross-site scripting issue. **Recommendations** Update OPEXUS eCASE Audit to version 11.14.2.0 or later.

**Name of the Vulnerable Software and Affected Versions** OPEXUS eCASE Audit versions prior to 11.14.1.0 **Description** An authenticated attacker can modify client-side JavaScript or craft HTTP requests to access functions or buttons that have been disabled or blocked by an administrator. The issue involves incorrect access control. **Recommendations** Update to eCASE Platform version 11.14.1.0 or later.

**Name of the Vulnerable Software and Affected Versions** OPEXUS eCASE versions prior to 11.14.1.0 **Description** OPEXUS eCASE Audit allows an authenticated attacker to save JavaScript as a comment within the Document Check Out functionality. This JavaScript is executed when another user views the Action History Log. The issue is a stored cross-site scripting (XSS) condition. The vulnerable functionality is related to the Document Check Out feature and the ability to add comments. **Recommendations** Update OPEXUS eCASE to version 11.14.1.0 or later.

**Name of the Vulnerable Software and Affected Versions** OPEXUS eCASE Audit versions prior to 11.14.2.0 **Description** OPEXUS eCASE Audit allows an authenticated attacker to save JavaScript in the “A or SIC Number” field within the Project Setup functionality. This JavaScript is executed when another user views the project. The affected field is used for project setup and allows for the storage of malicious code. The `A or SIC Number` field is the entry point for this issue. **Recommendations** Upgrade to OPEXUS eCASE Audit version 11.14.2.0 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OPEXUS FOIAXpress anteriores à 11.13.3.0 **Descrição** Um usuário administrativo pode injetar JavaScript ou outro conteúdo no Modelo de Relatório Anual. Este conteúdo injetado é executado quando outros usuários geram um Relatório Anual. A exploração bem-sucedida permite que o usuário administrativo execute ações em nome do alvo, incluindo o roubo de cookies de sessão, credenciais de usuário ou dados sensíveis. **Recomendações** Atualize o OPEXUS FOIAXpress para a versão 11.13.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OPEXUS FOIAXpress anteriores à 11.13.3.0 **Descrição** Um usuário administrativo pode injetar JavaScript ou outro conteúdo no campo de upload de imagem do Banner Enterprise do Relatório Anual. Este conteúdo injetado é executado quando outros usuários geram um Relatório Anual. A exploração bem-sucedida permite que o usuário administrativo realize ações em nome do usuário alvo, potencialmente incluindo o roubo de cookies de sessão, credenciais de usuário ou dados sensíveis. O problema envolve uma condição de cross-site scripting (XSS) armazenado. **Recomendações** Atualize o OPEXUS FOIAXpress para a versão 11.13.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OPEXUS FOIAXpress anteriores à 11.13.3.0 **Descrição** O OPEXUS FOIAXpress anterior à versão 11.13.3.0 permite que um usuário administrador injete JavaScript ou outro conteúdo como uma URL dentro do Gerenciador de Hiperlinks de Suporte Técnico. Este conteúdo injetado é executado no contexto de outros usuários quando clicam no link malicioso. Uma exploração bem-sucedida permite que o usuário administrador realize ações em nome do alvo, potencialmente incluindo o roubo de cookies de sessão, credenciais de usuário ou dados sensíveis. **Recomendações** Atualize o OPEXUS FOIAXpress para a versão 11.13.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OPEXUS FOIAXpress versões anteriores à 11.13.3.0 **Descrição** Um usuário administrativo pode fazer upload de JavaScript ou outro conteúdo embutido em uma imagem SVG utilizada como logotipo. Este conteúdo injetado é executado quando outros usuários visualizam as páginas afetadas. Uma exploração bem-sucedida permite que o usuário administrativo realize ações em nome do usuário alvo, incluindo o roubo de cookies de sessão, credenciais de usuário ou dados sensíveis. **Recomendações** Atualize para a versão 11.13.3.0 ou posterior.