CVE-2024-56882

Nome do Software Vulnerável e Versões Afetadas Versões do Sage DPW anteriores a 2024 12 000

Descrição A falha permite que usuários do Sage com baixos privilégios e com a função de funcionário armazenem permanentemente código JavaScript nos campos de entrada Kurstitel e Kurzinfo. O payload injetado é executado para cada usuário autenticado que visualiza e interage com os elementos de dados modificados. Trata-se de um caso de Cross Site Scripting (XSS).

Recomendações Para versões anteriores a 2024 12 000, considere desativar os campos de entrada Kurstitel e Kurzinfo para impedir o armazenamento de código JavaScript malicioso até que um patch esteja disponível. Restrinja o acesso a esses campos para usuários com baixos privilégios e com a função de funcionário, a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.