CVE-2020-18469

**Nome do software vulnerável e versões afetadas:

Rukovoditel versão 2.4.1

Descrição:

Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no campo Texto de direitos autorais, localizado na página Aplicação, no menu Configuração. Isso permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio de um nome de site malicioso, enviando uma solicitação HTTP POST autenticada para “/rukovoditel 2.4.1/index.php?module=configuration/save&redirect to=configuration/application”.

Recomendações:

Para o Rukovoditel versão 2.4.1, considere desativar o campo Texto de direitos autorais na página Aplicação, no menu Configuração, até que uma correção esteja disponível. Restrinja o acesso ao endpoint /rukovoditel 2.4.1/index.php?module=configuration/save&redirect to=configuration/application para minimizar o risco de exploração. Evite usar nomes de sites criados de forma maliciosa que possam injetar scripts da web ou HTML arbitrários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.