Palant

**Nome do software vulnerável e versões afetadas** Static Web Server (SWS) (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite a execução de código JavaScript no contexto do domínio do servidor web quando a exibição de diretórios está habilitada para um diretório no qual um usuário não confiável possui privilégios de upload. Um nome de arquivo malicioso, como `<img src=x onerror=alert(1)>.txt`, pode ser usado para explorar essa vulnerabilidade. O servidor web não realiza o escape de entidades HTML nos valores inseridos na listagem de diretórios, tornando `file name` e `current path` potencialmente maliciosos. Isso se torna uma vulnerabilidade de Cross-site Scripting armazenada para servidores web que permitem que usuários enviem arquivos ou criem diretórios com nomes de sua escolha. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.