CVE-2024-49337

Nome do Software Vulnerável e Versões Afetadas IBM OpenPages with Watson versões 8.3 a 9.0

Descrição O problema é causado pela validação inadequada de entrada fornecida pelo usuário em campos de texto usados para construir notificações de e-mail de fluxo de trabalho, levando à injeção de HTML. Um atacante remoto autenticado poderia explorar isso usando tags HTML em um campo de texto de um objeto para injetar script malicioso em um e-mail, que seria executado no cliente de e-mail da vítima dentro do contexto de segurança da mensagem de e-mail do OpenPages. Isso poderia ser usado para ataques de phishing ou roubo de identidade.

Recomendações Para as versões 8.3 a 9.0 do IBM OpenPages with Watson, considere desabilitar o uso de tags HTML em campos de texto de objetos até que um patch esteja disponível para prevenir a injeção de script malicioso. Restrinja o acesso às notificações de e-mail de fluxo de trabalho para minimizar o risco de exploração. Evite usar campos de texto vulneráveis em objetos para construir notificações de e-mail de fluxo de trabalho até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.