Alfin Joseph

**Nome do Software Vulnerável e Versões Afetadas** Concrete CMS versões 9.5.0 e anteriores **Description** Um problema de cross-site scripting (XSS) armazenado existe porque o controlador não valida nem sanitiza o parâmetro `height`. Isso permite que usuários com privilégios de editor injetem JavaScript malicioso que é executado no navegador de qualquer visitante, o que pode levar ao roubo de credenciais ou sequestro de sessão. **Recommendations** Atualize para uma versão posterior à 9.5.0. Como medida paliativa temporária, restrinja os privilégios de editor a usuários confiáveis para minimizar o risco de injeção de scripts maliciosos através do parâmetro `height`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Concrete CMS 9.0.0 até 9.3.9 **Descrição** O problema refere-se a um XSS armazenado na Funcionalidade de Pasta do Concrete CMS. Especificamente, a funcionalidade "Adicionar Pasta" carece de sanitização de entrada, permitindo que um administrador mal-intencionado injete payloads de XSS como nomes de pasta. **Recomendações** Para as versões do Concrete CMS 9.0.0 até 9.3.9, atualize para uma versão que inclua a correção para a vulnerabilidade de XSS armazenado na Funcionalidade de Pasta. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.