CVE-2021-44043

**Nome do software vulnerável e versões afetadas:

UiPath App Studio versão 21.4.4

Descrição:

Foi descoberta uma falha na funcionalidade de upload de arquivos para o envio de ícones ao tentar criar novos aplicativos, permitindo uma vulnerabilidade XSS persistente. Um invasor com privilégios mínimos pode criar seu próprio aplicativo e enviar um arquivo malicioso contendo uma carga XSS, fazendo o upload de um arquivo arbitrário e modificando o tipo MIME em uma solicitação HTTP subsequente. Isso permite que o arquivo seja armazenado e recuperado do servidor por outros usuários da mesma organização.

Recomendações:

Para o UiPath App Studio versão 21.4.4, considere desativar a funcionalidade de upload de arquivos para o envio de ícones até que uma correção esteja disponível para impedir a exploração da vulnerabilidade XSS persistente. Restrinja o acesso à funcionalidade afetada para minimizar o risco de exploração. Evite usar o recurso de upload de arquivos para enviar ícones na versão afetada até que o problema seja resolvido.