Yusuke Uchida

**Nome do software vulnerável e versões afetadas** Versões 9 a 9.3.3 do Concrete CMS Versões do Concrete CMS anteriores à 8.5.19 **Descrição** O problema está relacionado a XSS armazenado no recurso de adição de eventos do calendário. Isso ocorre porque o nome do evento do calendário não foi sanitizado na saída. Usuários ou grupos com permissão para criar calendários de eventos podem incorporar scripts, e usuários ou grupos com permissão para modificar calendários de eventos podem executar scripts. **Recomendações** Para as versões 9 a 9.3.3 do Concrete CMS, atualize para uma versão superior à 9.3.3 para resolver o problema. Para as versões do Concrete CMS anteriores à 8.5.19, atualize para a versão 8.5.19 ou superior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de adição de eventos no calendário para usuários ou grupos com permissão para criar ou modificar calendários de eventos até que um patch esteja disponível.