jdrodas
commented
6 months ago Hola @SanTacrZ,
Necesito documentación de como este tipo de vulnerabilidad se logra en este código de la aplicación. Sería muy bueno que me documentaras el caso más detalladamente.
Mientra tanto, este issue no será resuelto.
Saludos,
SanTacrZ
Errores "NotFound": Las respuestas "NotFound" en GetByIdAsync y GetAssociatedMunicipiosAsync son vulnerables a XSS si el mensaje de error (error.Message) no está codificado.
Si un atacante puede controlar este mensaje, podría inyectar scripts maliciosos que se ejecutan en el navegador del usuario.
// Vulnerable (por ejemplo, no para uso real) return NotFound($"{error.Message}");
En tu controlador DepartamentosController, tienes dos métodos que manejan la respuesta NotFound: