CVE-2025-48369

Nome do Software Vulnerável e Versões Afetadas Versões do Group-Office anteriores a 6.8.119 e 25.0.20

Descrição O problema consiste em uma vulnerabilidade persistente de Cross-Site Scripting (XSS) na funcionalidade de comentários de tarefas do Group-Office. Isso permite que atacantes executem JavaScript arbitrário ao fazer upload de um arquivo com um nome de arquivo manipulado. Quando administradores ou outros usuários visualizam a tarefa contendo este arquivo malicioso, o payload é executado no contexto de seus navegadores. A aplicação falha em sanitizar os nomes de arquivo de imagens antes de renderizá-los no comentário. Ao fazer upload de uma imagem com um nome de arquivo manipulado contendo payloads XSS, os atacantes podem roubar informações sensíveis.

Recomendações Para versões anteriores a 6.8.119, atualize para a versão 6.8.119 ou posterior para resolver o problema. Para versões anteriores a 25.0.20, atualize para a versão 25.0.20 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de comentários de tarefas até que um patch seja aplicado.