CVE-2021-41139

Versões do Anuko Time Tracker anteriores à 1.19.30.5600

O Anuko Time Tracker é um aplicativo de controle de tempo baseado na web, escrito em PHP. O aplicativo está vulnerável a uma falha na qual a seleção de uma data por um usuário conectado pode ser manipulada através da passagem de JavaScript malicioso pelo parâmetro date na URI. Isso pode ser explorado por meio de engenharia social para convencer o usuário a clicar em um link malicioso, permitindo que o JavaScript fornecido pelo invasor seja executado no navegador do usuário.

Para versões anteriores à 1.19.30.5600, atualize para a versão 1.19.30.5600 para resolver o problema.

Como solução alternativa temporária, considere introduzir a função ttValidDbDateFormatDate, conforme na versão mais recente, e adicione uma chamada a ela dentro do bloco de verificações de acesso em time.php.