CVE-2020-29653

**Nome do software vulnerável e versões afetadas:

Froxlor versões 0.10.22 e anteriores

Descrição:

O problema diz respeito à falta de validação das entradas do usuário passadas no parâmetro GET customermail. Isso permite a injeção de tags HTML arbitrárias, que são refletidas na página de login. Isso pode ser potencialmente usado para roubar credenciais de login.

Recomendações:

Para as versões 0.10.22 e anteriores do Froxlor, considere desativar a exibição das entradas do usuário na página de login até que uma correção adequada esteja disponível. Restrinja o acesso ao parâmetro customermail para minimizar o risco de exploração. Observe que, embora a versão 0.10.22 do Froxlor introduza a proteção AntiXSS contra scripts entre sites, ela oferece apenas proteção parcial para este problema específico. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.