CVE-2021-21312

**Nome do software vulnerável e versões afetadas:

Versões do GLPI anteriores à 9.5.4

Descrição:

O problema diz respeito a uma vulnerabilidade na função de envio de documentos, especificamente no campo de formulário “Link da Web”, que não é devidamente sanitizado. Isso permite que um usuário mal-intencionado com direitos de envio de documentos insira um código JavaScript malicioso. Por exemplo, ao usar a carga “accesskey=‘x’ onclick="alert(1)" x=", o conteúdo é salvo no banco de dados sem controle. Ao retornar à página de resumo de documentos e clicar no "Link da Web” do arquivo recém-criado, é criada uma nova guia vazia e, na guia inicial, aparece um pop-up. A vulnerabilidade pode ser explorada através do endpoint /front/document.form.php.

Recomendações:

Para versões anteriores à 9.5.4, atualize para a versão 9.5.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função de upload de documentos, especialmente ao campo “Link da Web”, para minimizar o risco de exploração. Além disso, evite usar o campo “Link da Web” no endpoint da API afetado até que o problema seja resolvido.