Khanmarshai

**Nome do Software Vulnerável e Versões Afetadas** Grav versões anteriores a 2.0.0-beta.2 **Descrição** Um usuário de baixo privilégio com permissões para criar páginas pode realizar Cross-Site Scripting (XSS) armazenado ao injetar um elemento `svg`. Isso ocorre porque o filtro de XSS na função `detectXss()` utiliza uma expressão regular para `on events` que não detecta manipuladores de eventos não citados. O problema está localizado no arquivo `system/src/Grav/Common/Security.php` e afeta o endpoint 'admin/pages/<page>'. Este XSS pode ser escalado para exfiltrar informações sensíveis do sistema do endpoint '/admin/config/info' quando visitado por um Super Administrador. Um invasor pode capturar o `admin nonce`, que pode ser usado para ignorar proteções CSRF e potencialmente levar à Execução Remota de Código (RCE) e ao comprometimento total do servidor. **Recomendações** Atualize para a versão 2.0.0-beta.2 ou posterior. Como medida paliativa temporária, restrinja a capacidade de usuários de baixo privilégio de criar ou editar páginas até que a atualização seja aplicada.