Diblei

**Nome do Software Vulnerável e Versões Afetadas** GroupOffice versões anteriores a 26.0.25 GroupOffice versões anteriores a 25.0.100 GroupOffice versões anteriores a 6.8.165 **Description** O GroupOffice permite que usuários autenticados persistam configurações legadas arbitrárias para qualquer `user id` através do endpoint 'index.php?r=core/saveSetting'. Um sink do lado do cliente no módulo de e-mail injeta a configuração `email font size` diretamente no JavaScript sem escape. Um usuário autenticado de baixo privilégio pode explorar essas falhas sobrescrevendo a configuração `email font size` de um administrador com um payload de JavaScript, disparando um Cross-Site Scripting (XSS) armazenado — técnica onde scripts maliciosos são armazenados permanentemente no servidor alvo — no navegador do administrador quando o cliente web carrega 'views/Extjs3/modulescripts.php'. **Recommendations** Atualizar para a versão 26.0.25. Atualizar para a versão 25.0.100. Atualizar para a versão 6.8.165.