CVE-2020-12530

**Nome do software vulnerável e versões afetadas:

mymbCONNECT24 e mbCONNECT24 até a versão V2.6.2

Descrição:

A vulnerabilidade existe devido à falta de proteção na estrutura da página da web, permitindo que um invasor remoto injete código por meio de um parâmetro get. Trata-se de uma vulnerabilidade XSS no arquivo redirect.php, que permite que um invasor injete código.

Recomendações:

Para versões até a V2.6.2, considere desativar o acesso ao arquivo redirect.php até que uma correção esteja disponível.

Restrinja o uso de parâmetros get no endpoint da API afetado para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.