Ixsly

**Nome do Software Vulnerável e Versões Afetadas** CryptPad versões anteriores a 2026.2.0 **Descrição** O sanitizador HTML no Diffmarked.js contém uma falha na qual não filtra adequadamente os atributos em tags restritas. Embora o sanitizador valide o atributo `src` para elementos `<iframe>`, `<video>` e `<audio>`, ele não verifica outros atributos. Isso permite que um invasor injete HTML arbitrário usando o atributo `srcdoc`, ignorando o sandboxing de bounce pretendido e permitindo a injeção de links ou outros conteúdos interativos em documentos controlados pelo usuário. O problema ocorre porque o `<iframe>` é classificado como uma tag restrita em vez de proibida, e o mecanismo de aplicação inspeciona apenas o atributo `src`. **Recomendações** Atualizar para a versão 2026.2.0.

Name of the Vulnerable Software and Affected Versions lichess.org (versões afetadas não especificadas) Description lichess.org, um servidor de xadrez gratuito e de código aberto, apresentava um sink de injeção de HTML no lado do servidor no endpoint /streamer e no widget “Live streams” da página inicial. Streamers aprovados podiam injetar HTML arbitrário incluindo marcação no título de sua transmissão no Twitch ou YouTube. Embora uma Política de Segurança de Conteúdo (CSP) estivesse em vigor para bloquear a execução de scripts inline, a questão permaneceu explorável. Para acionar isso, uma conta Lichess precisava atender aos requisitos de streamer: ter mais de 2 dias e pelo menos 15 jogos jogados, ou ser uma conta verificada/titulada, e receber aprovação de um moderador. Uma vez ao vivo, o Lichess renderizaria o título da plataforma diretamente na interface do usuário. Recommendations Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Kimai versions prior to 2.1.0 **Description** Kimai, a web-based multi-user time-tracking application, is vulnerable to a Server-Side Template Injection (SSTI) which can be escalated to Remote Code Execution (RCE). The vulnerability arises when a malicious user uploads a specially crafted Twig file, exploiting the software's PDF and HTML rendering functionalities. This allows an attacker to execute arbitrary code on the server. The issue is triggered when the software attempts to render invoices. **Recommendations** For versions prior to 2.1.0, update to version 2.1.0 or later, which enables security measures for custom Twig templates, mitigating the vulnerability. As a temporary workaround, consider disabling the rendering of custom Twig templates until a patch is available. Restrict access to the invoice rendering functionality to minimize the risk of exploitation. Avoid using the vulnerable PDF and HTML rendering functionalities until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Ghost versions prior to 5.59.1 **Description** The issue allows authenticated users to upload files that are symlinks, which can be exploited to perform an arbitrary file read of any file on the host operating system. Site administrators can check for exploitation by looking for unknown symlinks within Ghost's `content/` folder. **Recommendations** For versions prior to 5.59.1, upgrade to version 5.59.1 to resolve the issue. As a temporary workaround, consider monitoring the `content/` folder for unknown symlinks and restricting file upload capabilities to trusted users until the upgrade can be applied.

**Name of the Vulnerable Software and Affected Versions** OpenRefine versions 3.5.2 and earlier **Description** The issue allows unauthorized users to exploit the system, potentially leading to unauthorized access to internal resources and sensitive file disclosure due to a Server-Side Request Forgery (SSRF) vulnerability. **Recommendations** For OpenRefine versions 3.5.2 and earlier, update to a version later than 3.5.2 to resolve the issue. As a temporary workaround, consider restricting access to internal resources to minimize the risk of exploitation.