CVE-2020-25798

Versões do LimeSurvey anteriores à 3.21.1

Uma vulnerabilidade de script entre sites (XSS) armazenada permite que usuários autenticados com permissões adequadas injetem scripts da web ou HTML arbitrários por meio do parâmetro ParticipantAttributeNamesDropdown da seção Atributos na página central do banco de dados de participantes. Quando um atributo da pesquisa está sendo editado ou visualizado, o código JavaScript será executado no navegador.

Para versões anteriores à 3.21.1, atualize para uma versão posterior à 3.21.1 para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao parâmetro ParticipantAttributeNamesDropdown para minimizar o risco de exploração.