CVE-2025-46654

Nome do Software Vulnerável e Versões Afetadas Versões do CodiMD 2.2.0 e anteriores

Descrição O problema refere-se a um contorno do mecanismo de proteção da Política de Segurança de Conteúdo (CSP) contra ataques de Cross-Site Scripting (XSS). Isso pode ser realizado mediante o upload de um arquivo .html que referencia um arquivo .js enviado, permitindo assim a execução de conteúdo JavaScript malicioso.

Recomendações Para as versões 2.2.0 e anteriores, como uma solução paliativa temporária, considere restringir o upload de arquivos .html e .js para minimizar o risco de exploração. Além disso, restrinja o acesso à funcionalidade de upload de arquivos apenas a usuários autorizados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.