**Nome do software vulnerável e versões afetadas:

ezplatform-kernel (versões afetadas não especificadas)

Descrição:

A vulnerabilidade permite o envio de arquivos como .html e .js, que podem conter exploits XSS que serão executados quando acessados pelas vítimas. Isso pode ocorrer por meio do envio de arquivos de determinadas formas.

Recomendações:

Para resolver o problema, adicione tipos comuns de arquivos programáveis à configuração do recurso de lista negra de tipos de arquivo existente, modificando a configuração ezsettings.default.io.file storage.file type blacklist. Isso pode ser feito manualmente, sem a instalação de versões corrigidas. É essencial adaptar essa configuração de acordo com as necessidades específicas e não adicionar à lista negra tipos de arquivo necessários para o upload. Por exemplo, se for necessário fazer upload de arquivos SVG, considere usar um fluxo de trabalho de aprovação para esse tipo de conteúdo, em vez de colocá-los na lista negra.