CVE-2020-26768

**Nome do software vulnerável e versões afetadas:

Formstone versões 1.4.16 e anteriores

Descrição:

O problema é causado pela validação inadequada das entradas fornecidas pelo usuário nos arquivos upload-target.php e upload-chunked.php, levando a uma vulnerabilidade de Cross-Site Scripting (XSS) refletido. Um invasor remoto poderia explorar essa vulnerabilidade usando uma URL especialmente criada para executar um script no navegador da vítima dentro do contexto de segurança do site de hospedagem, assim que a URL fosse clicada ou visitada. Isso poderia permitir que o invasor roubasse as credenciais de autenticação baseadas em cookies da vítima, forçasse a execução de malware ou realizasse o redirecionamento do usuário.

Recomendações:

Para as versões 1.4.16 e anteriores do Formstone, considere desativar os arquivos upload-target.php e upload-chunked.php como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a esses arquivos para minimizar o risco de exploração. Evite usar URLs especialmente criadas que possam acionar a vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.