CVE-2023-51447

Versões do Decidim 0.27.0 a 0.27.4

Versões do Decidim anteriores à 0.28.0

O recurso de upload dinâmico de arquivos no Decidim está sujeito a possíveis ataques de cross-site scripting se um invasor conseguir modificar os nomes dos arquivos dos registros que estão sendo enviados para o servidor. Essa vulnerabilidade ocorre em seções nas quais o usuário controla as caixas de diálogo de upload de arquivos e possui conhecimento técnico para alterar os nomes dos arquivos por meio do endpoint de upload dinâmico. Para que a exploração seja bem-sucedida, o usuário precisaria enviar um blob de arquivo para o servidor com um nome de arquivo malicioso e, em seguida, direcionar outro usuário para a página de edição do registro onde o anexo está vinculado. O invasor pode alterar o nome do arquivo, por exemplo, para <svg onload=alert(‘XSS’)>, caso saiba como criar essas solicitações por conta própria.

Para as versões 0.27.0 a 0.27.4 do Decidim, atualize para a versão 0.27.5 ou posterior.

Para versões do Decidim anteriores à 0.28.0, atualize para a versão 0.28.0 ou posterior.

Como solução alternativa temporária, considere desativar os uploads dinâmicos para a instância, por exemplo, a partir de propostas.