D6Fault

**Nome do Software Vulnerável e Versões Afetadas** Cockpit CMS versões anteriores a 2.14.1 **Descrição** Um problema de cross-site scripting armazenado existe na opção de modelo de exibição (Display template) do tipo de campo Set. A string do modelo é processada pela função `$interpolate()` usando `new Function()` e renderizada via diretiva `v-html` do Vue sem a sanitização adequada. Um invasor com a permissão `content/:models/manage` pode injetar JavaScript arbitrário no modelo de exibição, que é executado no navegador de qualquer usuário que visualize a lista de itens da coleção. **Recomendações** Atualize para a versão que contém o commit 72a83fc.