CVE-2020-26505

Marmind versão 4.1.141.0

Uma vulnerabilidade de Stored Cross-Site Scripting (XSS) na aplicação web Marmind permite que um invasor injete código que será executado por usuários legítimos quando estes abrirem recursos contendo código JavaScript. Isso permite que o invasor execute ações não autorizadas em nome de usuários legítimos ou espalhe malware por meio da aplicação. A função “Assets Upload” pode ser explorada para fazer o upload de um arquivo PDF malicioso contendo um XSS armazenado.

Para a versão 4.1.141.0, considere desativar a função “Assets Upload” até que uma correção esteja disponível para impedir o upload de arquivos maliciosos. Restrinja o acesso aos recursos enviados para minimizar o risco de exploração. Evite usar o aplicativo para abrir ou interagir com recursos potencialmente maliciosos até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.