CVE-2024-25090

Versões do Apache Roller de 5.0.0 a 6.1.2

O problema é causado por validação e sanitização insuficientes de entradas em recursos como nome do perfil e nome de tela, nome e descrição do marcador e nome da lista de blogs. Isso permite que um usuário autenticado execute um ataque de script entre sites (XSS). A vulnerabilidade pode ser explorada por um invasor remoto para realizar um ataque XSS.

Para as versões 5.0.0 a 6.1.2 do Apache Roller, atualize para a versão 6.1.3 para corrigir o problema. Se você não tiver o Roller configurado para usuários não confiáveis, nenhuma ação é necessária, pois você confia que seus usuários criem HTML bruto e outros conteúdos da web. No entanto, se você estiver operando com usuários não confiáveis, a atualização para a versão 6.1.3 é necessária.