CVE-2025-35996

Nome do Software Vulnerável e Versões Afetadas KUNBUS PiCtory versões 2.11.1 e anteriores

Descrição O problema ocorre quando um atacante remoto autenticado cria um nome de arquivo especial que pode ser armazenado por endpoints de API, o qual é posteriormente transmitido ao cliente para exibir uma lista de arquivos de configuração. Devido à falta de escape ou sanitização, o nome do arquivo pode ser executado como uma tag de script HTML, resultando em um ataque de cross-site scripting.

Recomendações Para as versões 2.11.1 e anteriores do KUNBUS PiCtory, considere implementar mecanismos adequados de sanitização ou escape para nomes de arquivos armazenados por endpoints de API, a fim de prevenir ataques de cross-site scripting. Como solução temporária, restrinja o acesso aos endpoints de API que lidam com o armazenamento e transmissão de nomes de arquivo para minimizar o risco de exploração. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.