CVE-2024-43412

Versões do Xibo anteriores à 4.1.0

O Xibo é uma plataforma de sinalização digital de código aberto com um sistema de gerenciamento de conteúdo web (CMS). Uma vulnerabilidade de cross-site scripting permite que usuários autorizados executem JavaScript arbitrário por meio da função de visualização de arquivos. Os usuários podem enviar arquivos HTML/CSS/JS para a Biblioteca do Xibo através do módulo Arquivo Genérico para serem referenciados em Telas e em Layouts. Ao visualizar esses recursos a partir da Biblioteca e do editor de Layout, eles são executados no navegador do usuário. Esse comportamento foi alterado na versão 4.1.0 para desativar a visualização de arquivos genéricos. Recomenda-se que os usuários utilizem as novas ferramentas de desenvolvimento da versão 4.1 para criar seus widgets que exijam esse tipo de funcionalidade.

Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso da função de visualização de arquivos para arquivos genéricos até que a atualização seja aplicada. Além disso, recomenda-se que os usuários utilizem as novas ferramentas de desenvolvimento da versão 4.1 para projetar seus widgets que exijam esse tipo de funcionalidade.