CVE-2023-5118

Versões do software anteriores à 11.1.x

O aplicativo está vulnerável a um ataque de Stored Cross-Site Scripting (XSS) no endpoint “/sofer/DocumentService.asc/SaveAnnotation”, onde os dados de entrada transmitidos via método POST nos parâmetros author e text não são adequadamente sanitizados e validados. Isso permite a injeção de código JavaScript malicioso. A vulnerabilidade foi identificada na função de adição de novas anotações durante a edição do conteúdo do documento.

Para versões anteriores à 11.1.x, atualize para uma versão superior à 11.1.x para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/sofer/DocumentService.asc/SaveAnnotation” ou desativar a função de adição de novas anotações até que um patch esteja disponível. Evite usar os parâmetros author e text no endpoint da API afetado até que o problema seja resolvido.