Ariane

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.0 **Descrição** O problema está relacionado à falta de sanitização no upload de arquivos SVG, permitindo que um invasor injete código JavaScript no avatar de um usuário. Isso pode levar a um ataque de script entre sites (XSS) quando qualquer usuário visualizar o avatar. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. A vulnerabilidade pode ser explorada através do upload de um arquivo SVG especialmente criado, o que permite ao invasor realizar um ataque de cross-site scripting. Os detalhes técnicos sobre a exploração incluem a falta de sanitização no `upload de arquivos SVG` e a capacidade de injetar `javascript` no `avatar do usuário`. **Recomendações** Para versões anteriores à 10.0.0, recomenda-se que os usuários atualizem para uma versão mais recente. Como solução alternativa temporária, os usuários que não puderem atualizar devem desativar os avatares SVG para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.0 **Descrição** O problema está relacionado ao uso de acompanhamentos de tickets ou à configuração de mensagens de login com um link para uma folha de estilo no GLPI, o que pode permitir um vetor de ataque de script entre sites (XSS). Isso é parcialmente mitigado pela segurança CORS dos navegadores. Recomenda-se, ainda assim, que os usuários atualizem o software. **Recomendações** Para versões anteriores à 10.0.0, atualize para a versão 10.0.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de links para folhas de estilo em acompanhamentos de tickets ou mensagens de configuração de login até que um patch esteja disponível. Restrinja o acesso aos recursos vulneráveis para minimizar o risco de exploração.