Wachterjohannes

**Nome do software vulnerável e versões afetadas** Versões do Sulu anteriores à 2.6.5 Versões do Sulu anteriores à 2.5.21 **Descrição** Esta vulnerabilidade permite que um invasor injete código HTML/JavaScript arbitrário por meio da URL de download de mídia no Sulu CMS, afetando o componente SuluMediaBundle. Trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS) refletido, que poderia permitir que invasores roubassem informações confidenciais, manipulassem o conteúdo do site ou realizassem ações em nome da vítima. **Recomendações** Para versões anteriores à 2.6.5, atualize para a versão 2.6.5 ou posterior. Para versões anteriores à 2.5.21, atualize para a versão 2.5.21 ou posterior. Como solução alternativa temporária, considere implementar validação de entrada e codificação de saída adicionais para o parâmetro `slug` no método downloadAction do MediaStreamController. Alternativamente, configurar um Web Application Firewall (WAF) para filtrar entradas potencialmente maliciosas pode servir como uma mitigação temporária.

**Nome do software vulnerável e versões afetadas** Versões 2.0.0 a 2.6.4 do Sulu **Descrição** O Sulu, um sistema de gerenciamento de conteúdo em PHP, está vulnerável a ataques XSS. Um usuário com privilégios limitados que tenha acesso à seção “Mídia” pode fazer upload de um arquivo SVG contendo uma carga maliciosa. Uma vez carregado e acessado, o JavaScript malicioso será executado nos navegadores das vítimas, incluindo os de outros usuários e administradores. **Recomendações** Para as versões 2.0.0 a 2.6.4 do Sulu, atualize para a versão 2.6.5 para corrigir o problema. Como solução temporária, considere restringir o acesso à seção “Mídia” para impedir que usuários com privilégios limitados enviem arquivos SVG maliciosos. Evite acessar arquivos SVG enviados por usuários com privilégios limitados até que o problema seja resolvido.