Georgios Roumeliotis

**Nome do Software Vulnerável e Versões Afetadas** Wagtail CMS versão 6.4.1 **Descrição** O problema está relacionado a um Cross-Site Scripting (XSS) Armazenado na funcionalidade de upload de documentos. Atacantes podem injetar código malicioso dentro de um arquivo PDF. Quando um usuário clica no documento na interface do CMS, o payload é executado. **Recomendações** Para o Wagtail CMS versão 6.4.1, como medida temporária, considere restringir o upload de arquivos PDF ou desativar a funcionalidade de upload de documentos até que uma correção esteja disponível. Evite usar o recurso de upload de documentos afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do LedgerSMB anteriores à 1.10.30 Versões do LedgerSMB anteriores à 1.11.9 **Descrição** O LedgerSMB é um sistema de contabilidade por partidas dobradas gratuito baseado na web. Quando um administrador do banco de dados do LedgerSMB tem uma sessão ativa em “/setup.pl”, um invasor pode induzir o administrador a clicar em um link que envia automaticamente uma solicitação para “/setup.pl” sem o consentimento do administrador. Essa solicitação pode ser usada para criar uma nova conta de usuário com privilégios totais do aplicativo (“/login.pl”), levando à escalada de privilégios. **Recomendações** Para versões anteriores à 1.10.30, atualize para a versão 1.10.30 ou posterior. Para versões anteriores à 1.11.9, atualize para a versão 1.11.9 ou posterior. Como solução temporária, considere restringir o acesso ao endpoint “/setup.pl” para minimizar o risco de exploração.