CVE-2021-43855

**Nome do software vulnerável e versões afetadas:

Wiki.js versões 2.5.263 e anteriores

Descrição:

A vulnerabilidade diz respeito a um ataque de script entre sites armazenado (XSS) por meio do upload de um arquivo SVG realizado através de uma solicitação personalizada com um tipo MIME falso. Ao criar um arquivo SVG malicioso, um usuário mal-intencionado do Wiki.js pode preparar um ataque de cross-site scripting armazenado, permitindo que o invasor execute JavaScript malicioso quando o SVG for visualizado diretamente por outros usuários. Os scripts não são executados quando carregados dentro de uma página por meio de tags <img> normais. O SVG malicioso só pode ser enviado criando-se uma solicitação personalizada ao servidor com um tipo MIME falso.

Recomendações:

Para as versões 2.5.263 e anteriores do Wiki.js, atualize para a versão 2.5.264, que adiciona uma verificação adicional de extensão de arquivo à etapa opcional de sanitização de SVG para todos os uploads de arquivos que correspondam ao tipo MIME SVG.

Como solução alternativa temporária, considere desativar o upload de arquivos para todos os usuários não confiáveis.