CVE-2020-26280

OpenSlides versão 3.2

O OpenSlides é um sistema gratuito de apresentações e assembleias baseado na Web, destinado ao gerenciamento e à projeção de ordens do dia, moções e eleições em assembleias. Devido à validação insuficiente das entradas do usuário e à falta de escapamento, ele está vulnerável a ataques persistentes de cross-site scripting (XSS). No aplicativo web, os usuários podem inserir texto rico em vários locais, por exemplo, em notas pessoais ou em moções. Esses campos podem ser usados para armazenar código JavaScript arbitrário que será executado quando outros usuários lerem o texto respectivo. Um invasor poderia utilizar essa vulnerabilidade para manipular votos de outros usuários, sequestrar a sessão do moderador ou simplesmente perturbar a reunião.

Para a versão 3.2 do OpenSlides, atualize para a versão 3.3 para resolver o problema. Como solução alternativa temporária, considere restringir o uso de campos de texto rico em moções e notas pessoais para minimizar o risco de exploração. Evite usar esses campos para armazenar código JavaScript arbitrário até que o problema seja resolvido.