CVE-2025-30342

Nome do Software Vulnerável e Versões Afetadas Versões do OpenSlides anteriores à 4.2.5

Descrição Foi descoberta uma vulnerabilidade de cross-site scripting (XSS). Ao enviar descrições, um editor é exibido que permite formatar o texto enviado, possibilitando a inserção de vários elementos HTML. Embora o elemento SCRIPT seja devidamente codificado quando refletido, é possível adicionar atributos aos links, permitindo a injeção de JavaScript via atributo onmouseover e outros. Quando um usuário move o mouse sobre um link preparado, o JavaScript é executado na sessão desse usuário.

Recomendações Para versões anteriores à 4.2.5, atualize para a versão 4.2.5 ou posterior para resolver o problema. Como solução temporária, considere desativar o editor para o envio de descrições, como Notas do Moderador ou Tópicos da Agenda, até que um patch esteja disponível. Restrinja o acesso a links com atributos que possam ser usados para injeção de JavaScript para minimizar o risco de exploração.