CVE-2021-23836

**Nome do software vulnerável e versões afetadas:

Versões do flatCore anteriores à 2.0.0 build 139

Descrição:

Foi identificada uma vulnerabilidade de XSS armazenado no parâmetro do corpo da solicitação HTTP prefs smtp psw para a interface acp. Um usuário administrador pode injetar um script malicioso do lado do cliente no parâmetro afetado sem qualquer forma de sanitização de entrada. A carga injetada será executada no navegador de um usuário sempre que ele visitar a página do módulo afetado.

Recomendações:

Para versões anteriores à 2.0.0 build 139, considere desativar o parâmetro prefs smtp psw na interface acp até que um patch esteja disponível. Restrinja o acesso à interface acp para minimizar o risco de exploração. Evite usar o parâmetro prefs smtp psw no corpo da solicitação HTTP afetada até que a vulnerabilidade seja resolvida.