CVE-2019-18626

**Nome do software vulnerável e versões afetadas:

Versões do Harris Ormed Self Service anteriores à 2019.1.4

Descrição:

A vulnerabilidade permite que um usuário autenticado visualize formulários W-2 pertencentes a outros usuários por meio de um valor empNo arbitrário na URI “ORMEDMIS/Data/PY/T4W2Service.svc/RetrieveW2EntriesForEmployee”, expondo assim informações confidenciais, incluindo informações fiscais dos funcionários, números de previdência social, endereços residenciais e muito mais.

Recomendações:

Para versões anteriores à 2019.1.4, atualize para a versão 2019.1.4 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso à URI “ORMEDMIS/Data/PY/T4W2Service.svc/RetrieveW2EntriesForEmployee” para minimizar o risco de exploração.

Evite usar valores arbitrários de empNo na URI afetada até que o problema seja resolvido.