CVE-2025-55203

Nome do Software Vulnerável e Versões Afetadas: Versões do Plane anteriores a 0.28.0

Descrição: O Plane é um software de gerenciamento de projetos de código aberto. Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado no campo description html. Essa falha permite que um invasor injete código JavaScript malicioso que é armazenado e posteriormente executado nos navegadores de outros usuários. O campo description html não é devidamente sanitizado ou escapado. Um invasor pode enviar payloads JavaScript elaborados que são salvos no banco de dados da aplicação. Quando outro usuário visualiza o conteúdo afetado, o código injetado é executado em seu navegador, rodando no contexto da aplicação e contornando as proteções de segurança padrão. A exploração bem-sucedida pode levar ao sequestro de sessão, roubo de informações sensíveis ou redirecionamento forçado para sites maliciosos. Essa vulnerabilidade também pode ser encadeada com ataques CSRF para realizar ações não autorizadas, ou aproveitada para distribuir malware e explorar vulnerabilidades adicionais do navegador.

Recomendações: Atualize para a versão 0.28.0 ou posterior.