CVE-2025-26260

Nome do Software Vulnerável e Versões Afetadas: Versões do Plenti 0.7.16 e anteriores

Descrição: A falha permite a execução de código quando os usuários fazem upload de arquivos '.svelte' através do endpoint /postLocal e definem o nome do arquivo como código JavaScript. O servidor executa o nome do arquivo enviado, causando execução de código. Isso pode levar a um impacto de Negação de Serviço devido ao sandboxing. Caso exista uma vulnerabilidade no v8go que permita escapar do sandbox, diferentes impactos podem ser observados.

Recomendações: Para as versões do Plenti 0.7.16 e anteriores, como medida de contorno temporária, considere restringir o acesso ao endpoint /postLocal para minimizar o risco de exploração. Evite utilizar o parâmetro file no endpoint da API afetado até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.