CVE-2021-21260

**Nome do software vulnerável e versões afetadas:

Sistema de Faturamento Online (OIS) versão 4.0

Descrição:

O problema está relacionado a um XSS armazenado no Sistema de Faturamento Online, o que pode permitir que um invasor assuma o controle da conta de administrador. Isso é feito por meio de uma carga útil que extrai um token CSRF e envia uma solicitação para alterar a senha. A descrição do item em app/items view.php é refletida sem sanitização, possibilitando esse cenário malicioso.

Recomendações:

Para a versão 4.0, considere desativar a funcionalidade app/items view.php até que um patch esteja disponível para impedir a exploração da vulnerabilidade XSS armazenada. Restrinja o acesso à conta de administrador e monitore qualquer atividade suspeita relacionada a alterações de senha. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.