CVE-2025-2354

Nome do Software Vulnerável e Versões Afetadas VAM Virtual Airlines Manager versão 2.6.2

Descrição Uma vulnerabilidade foi encontrada no VAM Virtual Airlines Manager, afetando uma funcionalidade desconhecida do arquivo /vam/index.php. A manipulação do argumento registry id/plane icao/hub id resulta em cross-site scripting. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Outros parâmetros também podem estar afetados. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações Para a versão 2.6.2, como solução temporária, considere restringir o acesso ao arquivo /vam/index.php até que uma correção esteja disponível. Evite utilizar o argumento registry id/plane icao/hub id no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.