CVE-2021-39416

**Nome do software vulnerável e versões afetadas:

Remote Clinic versão 2.0

Descrição:

Existem várias vulnerabilidades de Cross Site Scripting (XSS) no Remote Clinic v2.0. As vulnerabilidades foram encontradas em diversos parâmetros em diferentes arquivos PHP, incluindo patients/register-patient.php por meio de parâmetros como Contact, Email, Weight, Profession, ref contact, address, gender, age e serial; patients/edit-patient.php por meio de parâmetros como Contact, Email, Weight, Profession, ref contact, address, serial, age e gender; staff/edit-my-profile.php por meio de parâmetros como Title, First Name, Last Name, Skype e Address; e clinics/settings.php por meio de parâmetros incluindo portal name, guardian short name, guardian name, opening time, closing time, access level 5, access level 4, access level 3, access level 2, access level 1, currency, mobile number, address, patient contact, patient address e patient email.

Recomendações:

Como solução temporária, considere desativar os parâmetros vulneráveis nos arquivos PHP afetados até que um patch esteja disponível. Restrinja o acesso aos módulos vulneráveis patients/register-patient.php, patients/edit-patient.php, staff/edit-my-profile.php e clinics/settings.php para minimizar o risco de exploração. Evite usar os parâmetros especificados nos pontos de extremidade da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente