CVE-2021-43856

**Nome do software vulnerável e versões afetadas:

Wiki.js versões 2.5.263 e anteriores

Descrição:

A vulnerabilidade diz respeito a um ataque de script entre sites armazenado (XSS), por meio do upload de arquivos que não sejam imagens, para tipos de arquivos que possam ser visualizados diretamente no navegador. Ao criar um arquivo malicioso capaz de executar JavaScript diretamente no navegador quando visualizado, um usuário mal-intencionado do Wiki.js pode lançar um ataque de script entre sites armazenado. Isso permite que o invasor execute JavaScript malicioso quando o arquivo for visualizado diretamente por outros usuários. O arquivo deve ser aberto diretamente pelo usuário e não será acionado diretamente em uma página normal do Wiki.js.

Recomendações:

Para as versões 2.5.263 e anteriores do Wiki.js, atualize para a versão 2.5.264 ou posterior, que adiciona um sinalizador opcional de download forçado a todos os tipos de arquivos que não sejam imagens, impedindo que o arquivo seja visualizado diretamente no navegador.

Como solução temporária, considere desativar o upload de arquivos para todos os usuários não confiáveis a fim de minimizar o risco de exploração.