CVE-2025-47916

Nome do Software Vulnerável e Versões Afetadas: Versões do Invision Community de 5.0.0 a 5.0.7

Descrição: O problema reside no controlador themeeditor, onde um método protegido chamado customCss pode ser invocado por usuários não autenticados. Este método passa o valor do parâmetro content para o método Theme::makeProcessFunction(), que é avaliado pelo mecanismo de template. Como resultado, atacantes não autenticados podem explorar essa falha para injetar e executar código PHP arbitrário, fornecendo strings de template manipuladas ao arquivo /applications/core/modules/front/system/themeeditor.php.

Recomendações: Para as versões do Invision Community de 5.0.0 a 5.0.7, atualize para uma versão posterior à 5.0.7 para resolver o problema. Como solução temporária, considere desativar o método customCss no controlador themeeditor até que um patch esteja disponível. Restrinja o acesso ao controlador themeeditor para minimizar o risco de exploração.