Nextcloud · Nextcloud Contacts · CVE-2020-8280
**Nome do software vulnerável e versões afetadas:
Nextcloud Contacts versão 3.4.0
Descrição:
A ausência de uma verificação do tipo de arquivo permite que um usuário mal-intencionado envie arquivos SVG como se fossem arquivos PNG, possibilitando ataques de cross-site scripting (XSS).
Recomendações:
Para o Nextcloud Contacts versão 3.4.0, considere restringir o envio de arquivos SVG ou implementar uma verificação adequada do tipo de arquivo para prevenir ataques de cross-site scripting até que uma correção esteja disponível.