CVE-2025-53528

Nome do Software Vulnerável e Versões Afetadas Cadwyn versões 5.4.3 e anteriores

Descrição O Cadwyn é uma ferramenta moderna de versionamento de API pronta para produção e orientada pela comunidade, semelhante ao Stripe, no FastAPI. O parâmetro version do endpoint /docs é suscetível a um ataque de Cross-Site Scripting (XSS) Refletido. Isso permite que um atacante execute código JavaScript na sessão de um usuário por meio de um ataque de um clique. O código vulnerável está localizado nas funções swagger dashboard e redoc dashboard, utilizando especificamente a função get swagger ui html do FastAPI sem a codificação ou sanitização adequada do parâmetro version. A injeção controlada pelo usuário ocorre dentro do contexto de uma tag <script>.

Recomendações Cadwyn versões 5.4.3 e anteriores: Atualize para a versão 5.4.4 ou posterior para resolver este problema.