CVE-2021-28901

**Nome do software vulnerável e versões afetadas:

SITA Software Azur CMS, versões 1.2.3.1 e anteriores

Descrição:

Existem várias vulnerabilidades de cross-site scripting (XSS), permitindo que invasores remotos injetem scripts web ou HTML arbitrários através dos parâmetros NOM CLI, ADRESSE, ADRESSE2, LOCALITE em “/eshop/products/json/aouCustomerAdresse” e do parâmetro nom liste em “/eshop/products/json/addCustomerFavorite”.

Recomendações:

Para as versões 1.2.3.1 e anteriores do SITA Software Azur CMS, considere desativar o acesso aos pontos de extremidade da API “/eshop/products/json/aouCustomerAdresse” e “/eshop/products/json/addCustomerFavorite” até que uma correção esteja disponível. Restrinja a entrada dos parâmetros NOM CLI, ADRESSE, ADRESSE2, LOCALITE e nom liste para impedir a injeção arbitrária de scripts web ou HTML. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.