Safwat Refaat

**Nome do software vulnerável e versões afetadas** Versões do FoF Upload anteriores à 1.2.3 **Descrição** A vulnerabilidade permite a execução de código JavaScript arbitrário ao acessar diretamente a URI de um arquivo SVG, podendo levar ao vazamento de dados ou à modificação maliciosa por um usuário autenticado do Flarum. Isso é possível se o FoF Upload estiver configurado para permitir o upload de arquivos SVG (`image/svg+xml`). O código JavaScript executado pode incluir solicitações HTTP ao Flarum ou a outros serviços web. **Recomendações** Para versões do FoF Upload anteriores à 1.2.3, atualize para a versão 1.2.3, que sanitiza os arquivos SVG enviados, ou remova a capacidade dos usuários de enviar arquivos SVG através do FoF Upload como uma solução temporária.