Yassin Abdelrazek

**Name of the Vulnerable Software and Affected Versions** Bludit versões 3.17.2 e 3.18.0 **Description** O Cross-Site Scripting (XSS) Armazenado existe na funcionalidade de criação de páginas. Um invasor autenticado com privilégios de criação de página, como Autor, Editor ou Administrador, pode incorporar um payload de JavaScript malicioso no campo `tags` de um artigo recém-criado. Esse payload é executado quando uma vítima visita a URL do recurso carregado, que é acessível sem autenticação. Este problema pode ser usado para criar automaticamente um novo administrador do site se a vítima possuir privilégios suficientes. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.