CVE-2020-35676

Versões do BigProf Online Invoicing System anteriores à 3.1

O problema decorre da falha na sanitização correta de uma carga XSS quando um usuário se cadastra utilizando a funcionalidade de autocadastramento. Isso permite que um invasor insira uma carga maliciosa que será executada no momento em que o administrador da aplicação acessar a lista de usuários cadastrados. Assim que o Javascript arbitrário for executado no contexto do administrador, isso fará com que o invasor obtenha privilégios administrativos, levando efetivamente à tomada de controle da aplicação. Os arquivos afetados incluem app/membership signup.php e app/admin/pageViewMembers.php.

Para versões anteriores à 3.1, atualize para a versão 3.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de auto-registro e limitar os privilégios administrativos até que a atualização possa ser aplicada. Além disso, restrinja o acesso aos arquivos afetados app/membership signup.php e app/admin/pageViewMembers.php para minimizar o risco de exploração.