CVE-2022-28985

OrangeHRM versão v4.10.1

Uma vulnerabilidade de cross-site scripting (XSS) armazenada no componente addNewPost permite que invasores executem scripts da web ou HTML arbitrários por meio de uma solicitação POST maliciosa ao endpoint /api/v1/addNewPost, utilizando parâmetros vulneráveis como post content. Isso permite que invasores injetem scripts maliciosos, o que pode levar a acesso não autorizado ou roubo de dados. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais.

Para a versão v4.10.1 do OrangeHRM, como solução temporária, considere desativar o componente addNewPost até que um patch esteja disponível. Restrinja o acesso ao endpoint vulnerável para minimizar o risco de exploração. Evite usar o parâmetro post content no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.