CVE-2024-46073

Nome do Software Vulnerável e Versões Afetadas: IceHRM versão 32.4.0.OS

Descrição: Uma vulnerabilidade de Cross-Site Scripting (XSS) refletido está presente na página de login devido à sanitização inadequada do parâmetro next, o qual é incluído na resposta da aplicação sem o devido escape. Isso permite que um atacante execute código JavaScript arbitrário no contexto do navegador da vítima, induzindo um usuário a visitar uma URL especialmente elaborada. O problema ocorre apesar de a aplicação possuir mecanismos de sanitização implementados.

Recomendações: Para a versão IceHRM 32.4.0.OS, como medida temporária, considere desabilitar a página de login ou restringir o acesso a ela até que uma correção esteja disponível. Além disso, evite utilizar o parâmetro next na página de login até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.