CVE-2021-20667

**Nome do software vulnerável e versões afetadas:

Versões v4.2.2 e anteriores do GROWI

Descrição:

O problema está relacionado a uma vulnerabilidade de cross-site scripting armazenada, causada por uma configuração inadequada da Política de Segurança de Conteúdo (CSP). Isso permite que invasores remotos autenticados injetem um script arbitrário por meio de conteúdo especialmente criado.

Recomendações:

Para as versões v4.2.2 e anteriores do GROWI, atualize para uma versão que configure adequadamente a Política de Segurança de Conteúdo (CSP) para prevenir ataques de cross-site scripting.

Como solução temporária, considere restringir o acesso a áreas sensíveis do aplicativo onde conteúdo gerado pelo usuário possa ser publicado, a fim de minimizar o risco de exploração.