CVE-2021-27930

**Nome do software vulnerável e versões afetadas:

IrisNext Edition versão 9.5.16

Descrição:

A vulnerabilidade permite que um usuário autenticado injete JavaScript malicioso em nomes de pastas ou arquivos dentro do aplicativo, podendo levar à execução de código malicioso nos navegadores de outros usuários ou ao sequestro de suas sessões. Isso ocorre devido a múltiplas vulnerabilidades de cross-site scripting (XSS) armazenadas, nas quais scripts web ou HTML arbitrários podem ser injetados por meio de um nome de documento ou pasta que é mal processado durante a renderização de determinados formulários.

Recomendações:

Para o IrisNext Edition versão 9.5.16, considere restringir a capacidade de injetar scripts da web ou HTML arbitrários por meio de nomes de documentos ou pastas como uma solução temporária até que um patch esteja disponível. Evite usar os recursos do aplicativo que permitem modificações nos nomes de pastas ou arquivos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.