Zerodaywolf

**Nome do software vulnerável e versões afetadas** OrangeHRM versão 4.10 **Descrição** O problema diz respeito a uma vulnerabilidade de XSS armazenado na seção “Compartilhar vídeo” em “OrangeBuzz”. Essa vulnerabilidade pode ser explorada por meio do parâmetro `createVideo[linkAddress]` usando solicitações GET ou POST. **Recomendações** Para o OrangeHRM versão 4.10, como solução temporária, considere restringir o acesso à seção “Compartilhar vídeo” em “OrangeBuzz” até que uma correção esteja disponível. Evite usar o parâmetro `createVideo[linkAddress]` na seção afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OrangeHRM versão 4.10 **Descrição** A vulnerabilidade permite que qualquer usuário crie uma planilha de horas na conta de outro usuário devido a uma referência direta a objeto insegura (IDOR) através do endpoint “symfony/web/index.php/time/createTimesheet”. **Recomendações** Para a versão 4.10 do OrangeHRM, como solução temporária, considere restringir o acesso ao endpoint “symfony/web/index.php/time/createTimesheet” para impedir a criação não autorizada de planilhas de horas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OrangeHRM versão 4.10 **Descrição** O problema está relacionado a um redirecionamento por injeção no cabeçalho Referer. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para a versão 4.10 do OrangeHRM, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** OrangeHRM versão 4.10 **Descrição** O problema diz respeito a um redirecionamento por injeção no cabeçalho Host através do endpoint “viewPersonalDetails”. Isso permite possíveis ataques de redirecionamento. **Recomendações** Para o OrangeHRM versão 4.10, como solução temporária, considere restringir o acesso ao endpoint “viewPersonalDetails” até que uma correção esteja disponível.