CVE-2025-46825

Nome do Software Vulnerável e Versões Afetadas Versões do Kanboard de 1.2.26 a 1.2.44

Descrição O problema consiste em uma vulnerabilidade de Cross-Site Scripting (XSS) Persistente no parâmetro name do formulário "http://localhost/?controller=ProjectCreationController&action=create". Isso permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários. A Política de Segurança de Conteúdo (CSP) padrão bloqueia o ataque JavaScript, mas este pode ser explorado se uma instância estiver mal configurada e o software estiver vulnerável à injeção de CSS devido à diretiva unsafe-inline na CSP padrão.

Recomendações Para as versões de 1.2.26 a 1.2.44, atualize para a versão 1.2.45 ou posterior para corrigir o problema. Como solução temporária, considere restringir o acesso ao formulário http://localhost/?controller=ProjectCreationController&action=create até que a atualização seja aplicada. Além disso, revise e ajuste a Política de Segurança de Conteúdo (CSP) para prevenir injeção de CSS, removendo a diretiva unsafe-inline se possível.