CVE-2025-46346

Nome do Software Vulnerável e Versões Afetadas Versões do YesWiki anteriores à 4.5.4

Descrição Foi identificada uma vulnerabilidade de cross-site scripting (XSS) armazenado na funcionalidade de comentários do YesWiki, um sistema wiki escrito em PHP. Essa vulnerabilidade permite que um agente malicioso injete payloads JavaScript que são armazenados e posteriormente executados no navegador de qualquer usuário que visualize o comentário afetado. O XSS ocorre porque a aplicação não sanitiza ou codifica adequadamente a entrada do usuário submetida aos comentários. Vale notar que a aplicação sanitiza ou não permite a execução de tags <script>, mas não considera payloads ofuscados utilizando comentários de bloco JavaScript, como /* JavaScriptPayload */.

Recomendações Para versões anteriores à 4.5.4, atualize para a versão 4.5.4 para resolver a vulnerabilidade. Como medida paliativa temporária, considere desativar a funcionalidade de comentários até que um patch esteja disponível. Restrinja o acesso ao módulo de comentários para minimizar o risco de exploração. Evite utilizar a funcionalidade de comentários nos endpoints de API afetados até que a vulnerabilidade seja resolvida.