CVE-2020-18470

**Nome do software vulnerável e versões afetadas:

Rukovoditel versão 2.4.1

Descrição:

Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no campo “Nome do aplicativo” da página “Configuração Geral”, permitindo que invasores remotos injetem scripts web ou HTML arbitrários por meio de um nome de site malicioso, enviando uma solicitação HTTP POST autenticada para o endpoint /install/index.php. A variável name está vulnerável à injeção, permitindo que invasores executem scripts maliciosos.

Recomendações:

Para o Rukovoditel versão 2.4.1, como solução temporária, considere restringir o acesso à página Configuração Geral até que uma correção esteja disponível. Evite usar o endpoint /install/index.php com nomes de sites criados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.