Nome do Software Vulnerável e Versões Afetadas Leantime (versões afetadas não especificadas)

Descrição O problema permite cross-site scripting (XSS) armazenado no nome da chave de API durante a geração da chave de API. Qualquer usuário com baixos privilégios, como um gerente ou editor, pode criar uma chave de API com um payload de XSS. Quando um administrador visita a página da Empresa, o XSS será acionado automaticamente, levando à execução de ações não autorizadas a partir da conta do administrador, como remover qualquer usuário ou adicionar outra pessoa como um usuário com privilégios elevados.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.