Michele Di Stefano

**Nome do software vulnerável e versões afetadas** Versões do plupload anteriores à 2.3.9 **Descrição** A vulnerabilidade permite que um invasor envie um arquivo cujo nome contenha código JavaScript, o qual poderia então ser executado. Para isso, o invasor precisaria induzir um usuário a enviar tal arquivo. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 2.3.9, atualize para a versão 2.3.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o envio de arquivos para impedir a execução de código JavaScript até que um patch seja aplicado. Evite permitir que usuários enviem arquivos com nomes contendo código JavaScript no pacote plupload afetado.

**Nome do software vulnerável e versões afetadas** pekeupload (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor execute código JavaScript caso um usuário seja induzido a fazer o upload de um arquivo cujo nome contenha esse código. Isso é possível ao explorar a funcionalidade de upload de arquivos, na qual o nome do arquivo não é devidamente sanitizado, permitindo a execução do código JavaScript contido no nome do arquivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do file-upload-with-preview anteriores à 4.2.0 **Descrição** A vulnerabilidade permite que um arquivo contendo código JavaScript malicioso em seu nome seja enviado, mas isso requer que o usuário seja induzido a enviar tal arquivo. **Recomendações** Para versões anteriores à 4.2.0, atualize para a versão 4.2.0 ou posterior para resolver o problema.