CVE-2025-2124

Nome do Software Vulnerável e Versões Afetadas Control iD RH iD versão 25.2.25.0

Descrição Uma vulnerabilidade foi encontrada no componente API Handler do Control iD RH iD, afetando uma parte desconhecida do arquivo /v2/customerdb/person.svc/change password. A manipulação do argumento message resulta em Cross-Site Scripting. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de maneira alguma.

Recomendações Como solução temporária, considere desativar o endpoint da API "/v2/customerdb/person.svc/change password" até que um patch esteja disponível. Restrinja o acesso ao componente API Handler para minimizar o risco de exploração. Evite usar o argumento message no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.