Relate · Relate · CVE-2026-42197
**Nome do Software Vulnerável e Versões Afetadas**
RELATE versões anteriores ao commit 555f0efb1c5bd7531c07cd73724d7e566a81f620
**Description**
Um problema de cross-site scripting armazenado permite que alunos matriculados executem JavaScript arbitrário na sessão do navegador de um administrador, o que pode levar ao controle total da conta administrativa. A função `get user()` em `ParticipationAdmin` utiliza `mark safe` combinado com a formatação de string % do Python para renderizar entradas controladas pelo usuário, ignorando a a escape automática de HTML do Django. Os valores são derivados dos campos `first name` e `last name` do modelo User, que podem ser editados por usuários autenticados através do endpoint '/profile/' sem sanitização. O script é executado quando um administrador visualiza a lista de Participação no painel de administração do Django.
**Recommendations**
Atualizar para o commit 555f0efb1c5bd7531c07cd73724d7e566a81f620.