Medok228

Nome do Software Vulnerável e Versões Afetadas: Versões do LinkAce anteriores à 2.1.9 Descrição: O LinkAce é um arquivo autohospedado para coletar links de websites. Uma vulnerabilidade de cross-site scripting (XSS) armazenada permite que um invasor injete JavaScript arbitrário, que é então executado no contexto do navegador de um usuário quando um link malicioso é clicado. A aplicação contém uma vulnerabilidade de XSS armazenado devido à filtragem e escape insuficientes dos dados fornecidos pelo usuário inseridos em atributos de link. Código JavaScript malicioso pode ser armazenado no banco de dados juntamente com o link e executado no navegador do usuário ao clicar no link, resultando na execução arbitrária de scripts no contexto do site. Recomendações: Atualize o LinkAce para a versão 2.1.9 ou superior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Label Studio anteriores a 1.18.0 Descrição: Uma vulnerabilidade no Label Studio permite que um atacante injete um script malicioso no contexto de uma página web, o que pode levar ao roubo de dados, sequestro de sessão, ações não autorizadas em nome do usuário e outros ataques. O problema é reproduzível ao enviar uma requisição devidamente formatada para o endpoint "POST /projects/upload-example/". A vulnerabilidade está localizada em `label studio/projects/views.py` e está relacionada ao parâmetro `label config`. Recomendações: Para versões anteriores a 1.18.0, atualize para a versão 1.18.0, que contém uma correção para o problema. Como solução temporária, considere restringir o acesso ao endpoint `POST /projects/upload-example/` e evitar o uso do parâmetro `label config` até que a atualização seja aplicada.