Bobdenotter

**Nome do software vulnerável e versões afetadas** Versões do Bolt CMS anteriores à 3.7.1 **Descrição** O nome dos arquivos enviados estava vulnerável a XSS armazenado. Não é possível injetar código JavaScript no nome do arquivo ao criá-lo ou enviá-lo. No entanto, uma vez criado ou enviado, o arquivo pode ser renomeado para injetar a carga maliciosa nele. Além disso, as medidas para impedir a renomeação do arquivo para extensões de nome de arquivo não permitidas podiam ser contornadas. **Recomendações** Para versões anteriores à 3.7.1, atualize para o Bolt 3.7.1 para resolver o problema. Como solução temporária, considere restringir a capacidade de renomear arquivos enviados até que a atualização seja aplicada.