CVE-2025-45055

Nome do Software Vulnerável e Versões Afetadas Silverpeas versão 6.4.2

Descrição O problema decorre de uma vulnerabilidade de cross-site scripting (XSS) armazenado no módulo de gerenciamento de eventos. Esta vulnerabilidade permite que um usuário autenticado carregue um arquivo SVG malicioso como um anexo de evento. Quando um administrador visualiza este anexo, JavaScript incorporado é executado na sessão do administrador, permitindo que atacantes escalem privilégios criando uma nova conta de administrador. A vulnerabilidade é causada por sanitização insuficiente de arquivos SVG e proteções CSRF fracas.

Recomendações Para a versão 6.4.2 do Silverpeas, como uma solução temporária, considere desativar a capacidade do módulo de gerenciamento de eventos de carregar arquivos SVG até que um patch esteja disponível. Restrinja o acesso ao módulo de gerenciamento de eventos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.