CVE-2020-7570

**Nome do software vulnerável e versões afetadas:

EcoStruxure Building Operation WebReports, versões 1.9 a 3.1

Descrição:

Existe uma vulnerabilidade de Cross-site Scripting armazenada devido à neutralização inadequada de entradas durante a geração da página web, permitindo que um usuário remoto autenticado injete scripts web ou HTML arbitrários. Isso é causado pela sanitização incorreta dos dados fornecidos pelo usuário, o que poderia levar a um ataque de Cross-Site Scripting armazenado contra outros usuários do WebReport. A vulnerabilidade também pode permitir que um invasor remoto faça upload de arquivos maliciosos e execute código arbitrário.

Recomendações:

Para as versões 1.9 a 3.1, atualize para uma versão que sanitize adequadamente os dados fornecidos pelo usuário para prevenir ataques de Cross-Site Scripting. Como solução temporária, considere restringir o acesso ao recurso WebReports até que um patch esteja disponível. Além disso, restrinja a capacidade dos usuários de fazer upload de arquivos para minimizar o risco de exploração.