Toni Gornals

**Nome do Software Vulnerável e Versões Afetadas** Quay (versões afetadas não especificadas) **Descrição** Uma falha existe no endpoint 'filedrop' que aceita qualquer tipo mime sem validação. Isso permite que um usuário autenticado com acesso de escrita ao repositório faça o upload de um arquivo SVG malicioso contendo JavaScript. Como o arquivo é armazenado e servido inline através da CDN, isso possibilita o cross-site scripting (XSS) armazenado, uma técnica onde um script malicioso é permanentemente armazenado no servidor alvo e executado quando uma vítima visita a URL do arquivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.