Yuffie Kisaragi

**Name of the Vulnerable Software and Affected Versions** Convercent Whistleblowing Platform (affected versions not specified) **Description** The platform exposes an unauthenticated API endpoint at `/GetLegalEntity` that returns internal customer legal-entity names based on a supplied `searchText` fragment. An unauthenticated attacker can query this endpoint using common legal-suffix terms to enumerate Convercent tenants, identifying organizations using the platform. This disclosure can facilitate targeted phishing, extortion, or other attacks against whistleblowing programs and reveals sensitive business relationships and compliance infrastructure. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões da Plataforma de Denúncia Convercent (versões afetadas não especificadas) **Descrição** O aplicativo apresenta uma falha no mecanismo de proteção no gerenciamento de navegador e sessão. Ele carece de cabeçalhos de segurança HTTP essenciais, incluindo Content-Security-Policy, Referrer-Policy, Permissions-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Opener-Policy e Cross-Origin-Resource-Policy. As proteções contra Clickjacking estão incompletas e os cookies de sessão são emitidos com atributos inseguros, como valores duplicados de ASP.NET SessionId, ausência do atributo Secure para o cookie de afinidade e configurações SameSite inconsistentes. Esses problemas enfraquecem o isolamento do navegador e a integridade da sessão, potencialmente levando a ataques do lado do cliente, fixação de sessão e vazamento de sessão cross-site. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.