CVE-2021-27910

**Nome do software vulnerável e versões afetadas:

Versões do Mautic anteriores à 3.3.4

Versões do Mautic anteriores à 4.0.0

Descrição:

A sanitização/filtragem insuficiente permite a injeção arbitrária de JavaScript no Mautic por meio da função de callback de gerenciamento de rejeições. Um invasor pode injetar código JavaScript arbitrário nos parâmetros error e error related to da solicitação POST (POST /mailer/<product / webhook>/callback) sem precisar de autenticação. O código JavaScript injetado é armazenado permanentemente e executado quando um usuário autenticado visualiza a página de detalhes de um lead afetado, permitindo potencialmente o roubo ou a adulteração de informações.

Recomendações:

Atualize para a versão 3.3.4 ou 4.0.0 para resolver o problema.

Como solução temporária, considere restringir o acesso à função de callback de gerenciamento de rejeições até que a atualização seja aplicada.

Evite usar os parâmetros error e error related to no endpoint da API afetado até que o problema seja resolvido.