CVE-2019-17573

**Nome do software vulnerável e versões afetadas:

Apache CXF (versões afetadas não especificadas)

Descrição:

O problema está relacionado a um ataque de Cross-Site Scripting (XSS) refletido na página /services, que lista nomes e endereços de endpoints disponíveis. Isso permite que um agente mal-intencionado injete javascript na página da web. O ataque explora um recurso que normalmente não está presente em navegadores modernos, mas aplicativos móveis podem estar vulneráveis. A página da web está vulnerável devido à falta de medidas de proteção para sua estrutura.

Recomendações:

Para todas as versões afetadas, considere desativar a página /services como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à página /services para minimizar o risco de exploração. Evite usar os recursos da página da web que permitem a injeção de javascript na página até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.