CVE-2025-3391

Nome do Software Vulnerável e Versões Afetadas: hailey888 oa system versões até 2025.01.01

Descrição: Foi identificada uma vulnerabilidade na função outAddress do arquivo cn/gson/oass/controller/address/AddrController.java do componente Backend. A manipulação do argumento outtype resulta em cross-site scripting. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Este produto adota a abordagem de lançamentos contínuos para fornecer entrega contínua. Portanto, detalhes de versão para lançamentos afetados e atualizados não estão disponíveis.

Recomendações: Como solução alternativa temporária, considere restringir o acesso à função outAddress da classe AddrController até que um patch esteja disponível. Evite utilizar o argumento outtype no componente Backend afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.