Ruibaby

**Nome do software vulnerável e versões afetadas** Versões do Halo de v1.0.0 a v1.4.17 **Descrição** A vulnerabilidade diz respeito a um ataque de Cross-Site Scripting (XSS) armazenado no campo do título do artigo, permitindo que um invasor autenticado injete código JavaScript arbitrário que será executado no servidor da vítima. **Recomendações** Para as versões v1.0.0 a v1.4.17, considere restringir o acesso ao recurso de título do artigo até que uma correção esteja disponível e evite usar o campo de título do artigo para quaisquer operações confidenciais. Como solução alternativa temporária, considere validar e sanitizar todas as entradas do usuário no título do artigo para impedir a injeção de código JavaScript malicioso.

**Nome do software vulnerável e versões afetadas** Versões do Halo de v1.0.0 a v1.4.17 **Descrição** A vulnerabilidade permite que um invasor autenticado envie um arquivo SVG cuidadosamente elaborado, fazendo com que código JavaScript arbitrário seja executado no navegador da vítima devido a um ataque de Stored Cross-Site Scripting (XSS) na imagem de perfil. **Recomendações** Para as versões v1.0.0 a v1.4.17, considere desativar o recurso de upload de imagem de perfil até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de Stored Cross-Site Scripting (XSS).

**Nome do software vulnerável e versões afetadas** Versões do Halo de v1.0.0 a v1.4.17 **Descrição** O problema diz respeito a uma vulnerabilidade de Stored Cross-Site Scripting (XSS) na tag “article”, permitindo que um invasor com acesso de administrador injetar código JavaScript arbitrário que será executado no servidor da vítima. **Recomendações** Para as versões v1.0.0 a v1.4.17, considere desativar a funcionalidade da tag article até que um patch esteja disponível para impedir a exploração da vulnerabilidade de Stored Cross-Site Scripting (XSS).