Lukas Eder

**Nome do software vulnerável e versões afetadas** Versões da extensão femanager anteriores à 5.5.1 Versões da extensão femanager 6.x anteriores à 6.3.1 **Descrição** A vulnerabilidade permite Cross-Site Scripting (XSS) por meio de um documento SVG malicioso. Por padrão, a extensão permite que usuários front-end conectados enviem arquivos SVG como novas imagens de perfil, o que pode levar a XSS quando a imagem enviada é usada no site. **Recomendações** Para versões anteriores à 5.5.1, atualize para a versão 5.5.1 ou posterior. Para versões 6.x anteriores à 6.3.1, atualize para a versão 6.3.1 ou posterior. Como solução temporária, considere desativar o upload de arquivos SVG para usuários do front-end até que um patch seja aplicado. Se o upload de SVG for necessário, use a extensão svg sanitizer do TYPO3 para impedir uploads de arquivos SVG maliciosos ou configure uma Política de Segurança de Conteúdo (CSP) rigorosa para a pasta de destino das imagens enviadas.