CVE-2024-29833

Não há menção a nenhum software ou versão específica nas descrições fornecidas.

O componente de envio de imagens é afetado por uma falha que permite o envio de arquivos SVG, e a expressão regular usada para remover tags de script pode ser contornada. Isso pode ser feito utilizando uma carga de Cross Site Scripting que não corresponda à expressão regular, como incluir espaços em branco dentro da tag de script. Um invasor deve ter como alvo um usuário autenticado com permissões para acessar esse recurso. No entanto, uma vez que a carga maliciosa é enviada, ela se torna acessível também a usuários não autenticados.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.