CVE-2025-27801

Nome do Software Vulnerável e Versões Afetadas Episerver CMS da Optimizely versões anteriores a 11.21.4 e anteriores a 11.37.5 Episerver CMS da Optimizely versões anteriores a 12.22.1 e anteriores a 11.37.3

Descrição O Sistema de Gerenciamento de Conteúdo (CMS) Episerver da Optimizely foi afetado por múltiplas vulnerabilidades de Cross-Site Scripting (XSS) Armazenado. Isso permitiu que um atacante autenticado executasse código JavaScript malicioso no navegador da vítima. As propriedades ContentReference, que podiam ser usadas na seção "Edit" do CMS, ofereciam uma funcionalidade de upload de documentos. Esses documentos poderiam ser usados posteriormente como conteúdo exibido na página. Era possível fazer upload de arquivos SVG que incluíam código JavaScript malicioso que seria executado se um usuário visitasse a URL direta da imagem de visualização. Os atacantes precisavam pelo menos da função "WebEditor" para explorar essa questão.

Recomendações Atualize o EPiServer.CMS.Core para a versão 11.21.4 ou posterior. Atualize o EPiServer.CMS.UI para a versão 11.37.5 ou posterior. Atualize o EPiServer.CMS.Core para a versão 12.22.1 ou posterior. Atualize o EPiServer.CMS.UI para a versão 11.37.3 ou posterior.