Djibril Mounkoro

**Name of the Vulnerable Software and Affected Versions** CyberPanel versões anteriores a 2.4.4 **Description** Um problema de cross-site scripting armazenado existe no painel do AI Scanner. O endpoint '/api/ai-scanner/callback' não requer autenticação, permitindo que atacantes não autenticados injetem JavaScript malicioso ao sobrescrever o campo `findings json` dos registros de ScanHistory. Esse script é executado na sessão autenticada de um administrador ao visitar o painel do AI Scanner, o que pode ser usado para emitir solicitações de mesma origem para implantar cron jobs e alcançar a execução remota de código no servidor. **Recommendations** Atualizar para a versão 2.4.4 ou posterior.

**Name of the Vulnerable Software and Affected Versions** CyberPanel versões anteriores a 2.4.4 **Description** Uma falha de bypass de autenticação nos endpoints da API do worker do AI Scanner permite que atacantes remotos não autenticados gravem dados arbitrários no banco de dados. Isso é feito enviando requisições para os endpoints '/api/ai-scanner/status-webhook' e '/api/ai-scanner/callback'. A exploração dessa falha pode levar à negação de serviço por exaustão de armazenamento, corrupção de registros de histórico de varredura e poluição de campos do banco de dados com dados maliciosos. **Recommendations** Atualize para a versão 2.4.4 ou posterior.