Philipp Fortmann

**Nome do software vulnerável e versões afetadas** Versões do K-Box anteriores à 0.33.1 **Descrição** O K-Box é um aplicativo baseado na web para gerenciar documentos, imagens, vídeos e geodados. Uma vulnerabilidade de Cross-Site-Scripting (XSS) armazenada está presente no editor Markdown usado pela visualização de resumos de documentos e arquivos Markdown. Um link âncora criado especificamente para esse fim pode, se clicado, executar ações de JavaScript não confiáveis, como recuperar cookies do usuário. **Recomendações** Para versões anteriores à 0.33.1, atualize para a versão 0.33.1, que inclui um patch que permite descartar links não seguros. Como solução temporária, considere desativar o editor Markdown até que um patch esteja disponível. Restrinja o acesso à visualização de arquivos Markdown para minimizar o risco de exploração. Evite usar o editor Markdown para visualizar documentos até que o problema seja resolvido.