Chittu13

**Nome do Software Vulnerável e Versões Afetadas** FUEL CMS versões anteriores a 1.5.2 **Descrição** Um problema de Cross-Site Scripting (XSS) existe na funcionalidade de upload de ativos. A aplicação não sanitiza adequadamente arquivos SVG carregados, o que permite que um usuário autenticado de baixo privilégio faça o upload de um arquivo SVG especialmente criado contendo código malicioso. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** HTMLy versão 3.1.1 **Descrição** Um problema de Cross-Site Scripting (XSS) existe na funcionalidade de criação de conteúdo no endpoint '/add/content?type=image'. A aplicação não sanitiza adequadamente a entrada do usuário, permitindo a injeção de código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** ApostropheCMS versões anteriores a 4.29.0 **Description** Um problema de cross-site scripting armazenado existe em campos relacionados a SEO, especificamente no Título de SEO e na Meta Descrição. A entrada controlada pelo usuário é renderizada sem a codificação de saída adequada em contextos HTML, incluindo tags <title>, atributos <meta> e dados estruturados JSON-LD. Isso permite que um invasor injete e execute JavaScript arbitrário no navegador de usuários autenticados. Isso pode ser usado para realizar solicitações de API autenticadas para endpoints como '/api/v1/@apostrophecms/user' e exfiltrar dados sensíveis, incluindo nomes de usuário, endereços de e-mail e funções, para um servidor externo. **Recommendations** Atualizar para a versão 4.29.0.