Thanhlocpanda

**Nome do software vulnerável e versões afetadas** Versões do SuiteCRM anteriores à 7.11.19 **Descrição** A vulnerabilidade permite que um invasor remoto insira código JavaScript arbitrário por meio de uma falha no filtro de tipo de conteúdo (Content-Type Filter) para fazer o upload de arquivos maliciosos. Isso ocorre porque o tipo text/html é bloqueado, mas outros tipos que permitem a execução de JavaScript, como text/xml, não são bloqueados. **Recomendações** Para versões anteriores à 7.11.19, atualize para a versão 7.11.19 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos apenas aos tipos necessários e validar o cabeçalho Content-Type para impedir o upload de arquivos maliciosos.

**Nome do software vulnerável e versões afetadas** Versões do SuiteCRM anteriores à 7.11.19 **Descrição** A vulnerabilidade permite que um invasor remoto insira código JavaScript arbitrário por meio de arquivos SVG maliciosos, contornando o mecanismo de proteção clean file output. Isso possibilita a execução de código arbitrário, podendo levar a acesso não autorizado ou manipulação de dados. **Recomendações** Para versões anteriores à 7.11.19, atualize para a versão 7.11.19 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos SVG ou desativar a interface web até que a atualização seja aplicada.