Patrick Himler

**Nome do software vulnerável e versões afetadas** Versões do Decidim anteriores à 0.27.6 Versões do Decidim anteriores à 0.28.1 **Descrição** O recurso de paginação utilizado em pesquisas e filtros está sujeito a um potencial ataque XSS por meio de uma URL malformada que utilize o parâmetro GET `per page`. Esta falha foi descoberta em uma auditoria de segurança organizada pelo mitgestalten Partizipationsbüro e financiada pela netidee contra o Decidim, realizada em abril de 2024. **Recomendações** Para versões do Decidim anteriores à 0.27.6, atualize para a versão 0.27.6 ou posterior para corrigir a vulnerabilidade. Para versões do Decidim anteriores à 0.28.1, atualize para a versão 0.28.1 ou posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao parâmetro `per page` no endpoint da API afetado até que um patch esteja disponível.