João Oliveira

**Nome do Software Vulnerável e Versões Afetadas** Versões do ThingsBoard anteriores à 4.2.1 **Descrição** O software contém uma vulnerabilidade de cross-site scripting (XSS) armazenado no recurso de Galeria de Upload de Imagem do dashboard. Um invasor pode carregar um arquivo Scalable Vector Graphics (SVG) contendo JavaScript malicioso. Este JavaScript pode ser executado quando o arquivo é renderizado na interface do usuário. O problema deve-se à sanitização inadequada e à validação imprópria do tipo de conteúdo (content-type) dos arquivos SVG carregados. **Recomendações** Atualize para a versão 4.2.1 ou posterior.

**Name of the Vulnerable Software and Affected Versions** ThingsBoard versions prior to 4.2.1 **Description** An authenticated user can upload malicious SVG images through the "Image Gallery". This leads to a Stored Cross-Site Scripting (XSS) issue. The exploit is triggered when any user accesses the public API endpoint of the malicious SVG images, or if the images are embedded in an `iframe` element. The vulnerability is located in the `ImageController`, which does not restrict JavaScript execution when an image is loaded. This can result in the execution of malicious code within other users' sessions, potentially compromising accounts and enabling unauthorized actions. The affected API endpoint is not explicitly specified beyond being a public API endpoint for SVG images. **Recommendations** Update ThingsBoard to version 4.2.1 or later.