CVE-2024-22191

Versões do Avo 2.46.0 a 3.2.3

Foi identificada uma vulnerabilidade de script entre sites (XSS) armazenada no campo key value do Avo. Essa vulnerabilidade poderia permitir que um invasor executasse código JavaScript arbitrário no navegador da vítima. O valor de key value é inserido diretamente no código HTML e não é devidamente sanitizado antes de ser inserido no código HTML. Essa vulnerabilidade poderia ser usada para roubar informações confidenciais das vítimas, que poderiam ser utilizadas para sequestrar as contas das vítimas ou redirecioná-las para sites maliciosos.

Para as versões 2.46.0 a 3.2.3 do Avo, atualize para a versão 3.2.4 ou 2.47.0 para resolver o problema.

Como solução temporária, considere desativar o campo key value até que um patch esteja disponível.

Restrinja o acesso ao campo key value para minimizar o risco de exploração.

Evite usar o campo key value nas versões afetadas do Avo até que o problema seja resolvido.