CVE-2025-46595

Nome do Software Vulnerável e Versões Afetadas Versões do módulo Flag do Backdrop CMS anteriores à 1.x-3.6.2

Descrição Uma vulnerabilidade de Cross-Site Scripting foi descoberta no módulo Flag do Backdrop CMS. O módulo não verifica os links de flag antes de executar a ação de flag, nem verifica se a resposta retornada foi fornecida pelo módulo Flag, permitindo que HTML manipulado resulte em Cross-Site Scripting. Este problema é mitigado pelo fato de que um atacante deve possuir uma função com permissão para criar links no site.

Recomendações Para versões do módulo Flag do Backdrop CMS anteriores à 1.x-3.6.2, atualize para a versão 1.x-3.6.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a permissão para criar links no site para minimizar o risco de exploração.