Beetrio189

**Nome do Software Vulnerável e Versões Afetadas** NukeViet CMS versões anteriores a 4.5.08 **Description** Ocorre Cross-Site Scripting (XSS) Armazenado devido à sanitização insuficiente de entrada no lado do servidor na classe Request. A aplicação depende de filtragem no lado do cliente para sanitizar tags e atributos HTML, que podem ser ignorados através da modificação de requisições HTTP. Isso permite que um visitante anônimo injete payloads maliciosos que são armazenados no servidor e executados no navegador de qualquer usuário que visualize o conteúdo, como administradores ou moderadores que revisam comentários ou mensagens de contato. Os impactos potenciais incluem sequestro de sessão por meio do roubo de cookies, ações não autorizadas realizadas sob a identidade da vítima, desfiguração (defacement), redirecionamento para páginas de phishing e ataques de phishing via notificações de e-mail manipuladas. **Recommendations** Atualizar para a versão 4.5.08. Implementar a sanitização de HTML no lado do servidor na classe Request para remover ou codificar tags e atributos perigosos, como `<iframe>`, `srcdoc` e manipuladores de eventos como `onerror` ou `onload`. Impor uma Política de Segurança de Conteúdo (CSP) para restringir a execução de scripts inline. Configurar cookies com a flag `HttpOnly` para mitigar o roubo de cookies.