CVE-2025-52203

Nome do Software Vulnerável e Versões Afetadas DevaslanPHP project-management versão 1.2.4

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado no DevaslanPHP project-management versão 1.2.4. A vulnerabilidade está localizada no campo "Ticket Name", que não sanitiza adequadamente a entrada do usuário. Um atacante autenticado pode injetar payloads JavaScript maliciosos neste campo. Esses payloads são armazenados no banco de dados e executados no contexto do navegador do usuário quando este faz login e é redirecionado para o painel Dashboard após a autenticação.

Recomendações Atualize o DevaslanPHP project-management para uma versão que corrija este problema. Como solução alternativa temporária, sanitze toda a entrada do usuário para o campo "Ticket Name" para prevenir a injeção de scripts maliciosos.