CVE-2021-41156

Versões do anuko/timetracker anteriores à 1.19.30.5601

A vulnerabilidade diz respeito ao anuko/timetracker, um sistema de controle de tempo de código aberto. Nas versões afetadas, o sistema utiliza um controle oculto browser today para coletar a data atual dos navegadores dos usuários. Devido à falta de verificações de validade nesse parâmetro nas versões anteriores à 1.19.30.5601, é possível criar um formulário HTML com JavaScript malicioso. Um invasor poderia usar engenharia social para convencer usuários conectados a executar uma solicitação POST a partir desse formulário, resultando na execução do JavaScript fornecido pelo invasor no navegador do usuário.

Para versões anteriores à 1.19.30.5601, atualize para a versão 1.19.30.5601 ou posterior.

Se a atualização não for viável, introduza a função ttValidDbDateFormatDate, conforme na versão mais recente, e adicione uma chamada a ela dentro do bloco de verificações de acesso.