Deema Alfehaid

**Nome do Software Vulnerável e Versões Afetadas** (versões afetadas não especificadas) **Descrição** Existe uma falha no processo de upload de arquivos dentro do pipeline de renderização de bookmark e asset. Um atacante pode fazer upload de um arquivo SVG malicioso contendo código JavaScript. Quando um usuário administrador autenticado visualiza este arquivo SVG, o JavaScript incorporado é executado em seu navegador. Este JavaScript recupera o token de Cross-Site Request Forgery (CSRF) e o utiliza para enviar uma solicitação para modificar a senha do administrador, levando à tomada completa da conta. O ataque visa os componentes `bookmark` e `asset rendering pipeline`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.