CVE-2025-32961

Nome do Software Vulnerável e Versões Afetadas Versões do Cuba JPA anteriores à 1.1.1

Descrição A API web do Cuba JPA permite carregar e salvar entidades definidas no modelo de dados da aplicação por meio de solicitações HTTP simples. Em versões anteriores à 1.1.1, o parâmetro de entrada, que inclui um caminho e nome de arquivo, pode ser manipulado para retornar o cabeçalho Content-Type com text/html se a parte do nome terminar com .html. Isso poderia permitir a execução de código JavaScript malicioso no navegador. Para que um ataque seja bem-sucedido, um arquivo malicioso precisa ser enviado anteriormente.

Recomendações Para versões anteriores à 1.1.1, atualize para a versão 1.1.1 para resolver o problema. Como solução temporária, considere utilizar a medida de contorno fornecida no site de documentação do Jmix até que a atualização para a versão 1.1.1 possa ser aplicada.