CVE-2019-13965

**Nome do software vulnerável e versões afetadas:

Versões do iTop anteriores à 2.6.1

Descrição:

O problema está relacionado à falta de sanitização em torno das mensagens de erro, levando a múltiplas vulnerabilidades de XSS reflexivo. Essas vulnerabilidades existem em vários arquivos PHP, incluindo webservices/export.php, webservices/cron.php e env-production/itop-backup/backup.php, por meio do parâmetro param file. Por padrão, qualquer XSS enviado ao administrador pode ser transformado em execução remota de comando. O XSS reflexivo também pode se tornar um XSS armazenado dentro da mesma conta devido a outra vulnerabilidade.

Recomendações:

Para versões do iTop anteriores à 2.6.1, atualize para a versão 2.6.1 ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso aos arquivos webservices/export.php, webservices/cron.php e env-production/itop-backup/backup.php para minimizar o risco de exploração.

Evite usar o parâmetro param file nos endpoints da API afetados até que o problema seja resolvido.