Chris Alupului

**Name of the Vulnerable Software and Affected Versions** October versões anteriores a 3.7.14 October versões anteriores a 4.1.10 **Description** Um problema de Cross-Site Scripting (XSS) armazenado existe nas Configurações do Editor de Backend. Os campos Markup Classes, utilizados para estilos de parágrafo, estilos inline e estilos de tabela, não sanitizam a entrada para caracteres válidos de nome de classe CSS. Isso permite que valores maliciosos sejam renderizados sem sanitização nos menus suspensos do editor Froala, levando à execução de JavaScript quando um usuário abre um RichEditor. Isso requer acesso autenticado ao backend com permissões de configurações do editor e pode resultar em escalonamento de privilégios se um superusuário abrir um RichEditor durante a edição rotineira de conteúdo, como a edição de uma postagem de blog. **Recommendations** Atualizar para a versão 3.7.14 ou superior. Atualizar para a versão 4.1.10 ou superior. Restringir as permissões de configurações do editor apenas a administradores totalmente confiáveis.

**Name of the Vulnerable Software and Affected Versions** October versões anteriores a 3.7.14 October versões anteriores a 4.1.10 **Description** Um problema de cross-site scripting (XSS) armazenado existe no recurso de pré-visualização de e-mail do Event Log. O conteúdo HTML em mensagens de e-mail registradas é renderizado em um iframe sem o sandboxing adequado, o que permite a execução de JavaScript no contexto do navegador do visualizador. Isso pode levar à escalada de privilégios se um superusuário visualizar uma entrada de log maliciosa. A exploração requer acesso autenticado ao backend com permissões de edição de modelo de e-mail e que um superusuário visualize a entrada específica do Event Log. **Recommendations** Atualizar para a versão 3.7.14. Atualizar para a versão 4.1.10. Restringir as permissões de edição de modelos de e-mail apenas a administradores totalmente confiáveis. Restringir as permissões de visualização do Event Log para minimizar a exposição.