Yann Cam

CVE-2026-1466 Jirafeau normally prevents browser preview for text files due to the possibility that for example SVG and HTML documents could be exploited for cross site scripting. Th… https://t.co/rSEVfvxJRR

**Nome do Software Vulnerável e Versões Afetadas** Versões do IPFire anteriores a 2.19 Core Update 101 **Descrição** Existe uma vulnerabilidade de execução remota de comandos no IPFire devido a uma falha na interface CGI `proxy.cgi`. Um atacante autenticado pode injetar comandos de shell arbitrários por meio de valores manipulados nos campos do formulário de criação de usuário NCSA, resultando na execução de comandos com privilégios do servidor web. **Recomendações** Atualize para a versão 2.19 Core Update 101 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Jirafeau (versões afetadas não especificadas) Descrição: O problema refere-se a uma vulnerabilidade de Cross-Site Scripting (XSS) via Bypass de Tipo MIME no Jirafeau. Normalmente, o Jirafeau impede a pré-visualização no navegador para arquivos de texto, a fim de prevenir potenciais explorações de Cross-Site Scripting, especialmente para arquivos como documentos SVG e HTML. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Jirafeau (versões afetadas não especificadas) **Descrição** A vulnerabilidade diz respeito a uma falha de contornamento do tipo MIME, que não distingue maiúsculas de minúsculas, permitindo um ataque XSS (Cross-Site Scripting) em SVG no Jirafeau. Normalmente, o Jirafeau impede a visualização prévia do navegador para arquivos SVG, a fim de evitar a exploração de scripts entre sites. No entanto, era possível contornar essa proteção enviando um tipo MIME manipulado durante o upload, no qual a maiúscula ou minúscula de qualquer letra em `image/svg+xml` havia sido alterada. A verificação de `image/svg+xml` foi alterada para não distinguir maiúsculas de minúsculas a fim de resolver este problema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Stormshield Network Security (SNS) versões 3.7.0 a 3.7.41 Stormshield Network Security (SNS) versões 3.10.0 a 3.11.29 Stormshield Network Security (SNS) versões 4.0 a 4.3.24 Stormshield Network Security (SNS) versões 4.4.0 a 4.7.4 **Descrição** Um usuário com acesso de gravação à página de alertas por e-mail no Stormshield Network Security (SNS) pode criar um e-mail de alerta contendo JavaScript malicioso. Esse JavaScript malicioso é executado pela visualização do modelo. **Recomendações** Para as versões 3.7.0 a 3.7.41, atualize para a versão 3.7.42 para resolver o problema. Para as versões 3.10.0 a 3.11.29, atualize para a versão 3.11.30 para resolver o problema. Para as versões 4.0 a 4.3.24, atualize para a versão 4.3.25 para resolver o problema. Para as versões 4.4.0 a 4.7.4, atualize para a versão 4.7.5 para resolver o problema.