CVE-2025-6050

Nome do Software Vulnerável e Versões Afetadas Versões do Mezzanine CMS anteriores à 6.1.1

Descrição O problema consiste em uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado na interface de administração. Ela está presente na função displayable links js, que falha em sanitizar adequadamente os títulos das postagens do blog antes de incluí-los nas respostas JSON servidas via "/admin/displayable links.js". Um usuário administrador autenticado pode criar uma postagem de blog com um payload JavaScript malicioso no campo title e, em seguida, induzir outro usuário administrador a clicar em um link direto para o endpoint "/admin/displayable links.js", fazendo com que o script malicioso seja executado em seu navegador.

Recomendações Para versões anteriores à 6.1.1, atualize para a versão 6.1.1 ou superior para resolver o problema. Como medida temporária, considere desativar a função displayable links js até que uma correção esteja disponível. Restrinja o acesso ao endpoint "/admin/displayable links.js" para minimizar o risco de exploração. Evite utilizar payloads JavaScript maliciosos no campo title das postagens do blog até que o problema seja resolvido.