CVE-2020-29456

Versões do Papermerge anteriores à 1.5.2

Várias vulnerabilidades de cross-site scripting (XSS) permitem que invasores remotos injetem scripts da web ou HTML arbitrários por meio das funções rename, tag, upload ou create folder. A carga maliciosa pode estar em uma pasta, uma tag ou no nome de arquivo de um documento. Se o consumo de e-mail estiver configurado no Papermerge, um documento malicioso pode ser enviado por e-mail e carregado automaticamente no aplicativo web do Papermerge, sem a necessidade de autenticação para explorar o XSS. Caso contrário, a autenticação é necessária.

Para versões anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar as funções rename, tag, upload ou create folder até que um patch esteja disponível. Restrinja o acesso ao consumo de e-mail no Papermerge para minimizar o risco de exploração. Evite usar documentos ou nomes de arquivos potencialmente maliciosos nas funções afetadas até que o problema seja resolvido.