CVE-2025-49126

Nome do Software Vulnerável e Versões Afetadas: Versões do Visionatrix de 1.5.0 a 2.5.0

Descrição: O problema refere-se a um ataque XSS Refletido (Cross-Site Scripting) via o endpoint "/docs/flows", permitindo a tomada de controle total da aplicação e a exfiltração de segredos armazenados na aplicação. Isso se deve ao uso da função get swagger ui html do FastAPI, que não codifica ou sanitiza seus argumentos antes de gerar o HTML para a página de documentação Swagger. Qualquer usuário desta aplicação pode ser alvo de um ataque de um clique que pode tomar controle de sua sessão e de todos os segredos que possam estar contidos nela.

Recomendações: Para as versões de 1.5.0 a 2.5.0, atualize para a versão 2.5.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "/docs/flows" até que a atualização seja aplicada.