Guram Javakhishvili

**Nome do software vulnerável e versões afetadas** Versões do LimeSurvey anteriores à 3.21.1 **Descrição** Uma vulnerabilidade de script entre sites (XSS) armazenada permite que usuários autenticados com permissões adequadas injetem scripts da web ou HTML arbitrários por meio do parâmetro `ParticipantAttributeNamesDropdown` da seção Atributos na página central do banco de dados de participantes. Quando um atributo da pesquisa está sendo editado ou visualizado, o código JavaScript será executado no navegador. **Recomendações** Para versões anteriores à 3.21.1, atualize para uma versão posterior à 3.21.1 para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao parâmetro `ParticipantAttributeNamesDropdown` para minimizar o risco de exploração.