CVE-2025-48495

Nome do Software Vulnerável e Versões Afetadas Versões do Gokapi anteriores à 2.0.0

Descrição O Gokapi é um servidor de compartilhamento de arquivos auto-hospedado com suporte a expiração automática e criptografia. A vulnerabilidade permite que um usuário autenticado injete JS na visão geral da chave de API ao renomear o nome amigável de uma chave de API. Este JS injetado seria executado quando outro usuário clicasse na aba de API. Antes da versão 2.0.0, todos os usuários autenticados podiam ver e modificar todos os recursos devido à falta de um sistema de permissões de usuário, e a chave de criptografia tinha que ser a mesma para todos os usuários.

Recomendações Para versões anteriores à 2.0.0, atualize para a versão 2.0.0 para resolver o problema. Como medida de contorno temporária, considere não abrir a página de API se houver a possibilidade de que outro usuário possa ter injetado código.