Debshubra Chakraborty

**Nome do software vulnerável e versões afetadas** Postbird versão 0.8.4 **Descrição** A vulnerabilidade permite XSS armazenado por meio do atributo onerror de um elemento IMG em qualquer tabela do banco de dados PostgreSQL. Isso pode resultar na leitura de arquivos locais por meio de vetores envolvendo XMLHttpRequest e a abertura de uma URL file:///, ou na descoberta de senhas do PostgreSQL por meio de vetores envolvendo Window.localStorage e savedConnections. **Recomendações** Para a versão 0.8.4 do Postbird, considere desativar o uso de elementos IMG com o atributo onerror nas tabelas de banco de dados PostgreSQL até que um patch esteja disponível. Restrinja o acesso a arquivos locais e senhas do PostgreSQL para minimizar o risco de exploração. Evite usar as variáveis Window.localStorage e savedConnections nos endpoints da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.