Seanmarpo

**Nome do software vulnerável e versões afetadas** Versões do OpenProject anteriores à 13.4.2 Versões do OpenProject anteriores à 14.0.2 Versões do OpenProject anteriores à 14.1.0 **Descrição** O problema diz respeito ao OpenProject, um software líder de gerenciamento de projetos de código aberto, que utiliza o `tablesorter` dentro do recurso Relatório de Custos. Essa dependência pode levar a um XSS armazenado por meio da substituição de `{icon}` nos valores do cabeçalho da tabela quando mal configurada. O ataque requer as permissões “Editar pacotes de trabalho” e “Adicionar anexos”. Um administrador de projeto poderia tentar escalar seus privilégios enviando esse XSS a um administrador de sistema. A vulnerabilidade pode ser explorada armazenando javascript no próprio aplicativo por meio de um anexo de ticket, contornando a política CSP do aplicativo para obter um Stored XSS. **Recomendações** Para versões anteriores à 13.4.2, atualize para a versão 13.4.2 ou posterior. Para versões anteriores à 14.0.2, atualize para a versão 14.0.2 ou posterior. Para versões anteriores à 14.1.0, atualize para a versão 14.1.0 ou posterior.