CVE-2025-55742

Nome do Software Vulnerável e Versões Afetadas: Versões do UnoPim anteriores à 0.2.1

Descrição: O UnoPim, um sistema de Gerenciamento de Informações de Produtos (PIM) de código aberto construído sobre o framework Laravel, contém uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. A vulnerabilidade decorre de um bypass de MIME/Sanitizador de SVG no endpoint /admin/settings/users/create. Um atacante pode explorar essa questão fazendo upload de um arquivo SVG especialmente elaborado com um tipo MIME manipulado, potencialmente permitindo-lhe executar código JavaScript arbitrário em nome de outros administradores. O cookie de sessão está marcado como http-only, o que impede a exfiltração do cookie via JavaScript, mas não impede que o atacante realize ações como se fosse a vítima.

Recomendações: Versões anteriores à 0.2.1: Verifique as extensões de arquivo e utilize uma whitelist para as extensões permitidas. Versões anteriores à 0.2.1: Verifique se o tipo MIME corresponde à extensão do arquivo. Versões anteriores à 0.2.1: Se a extensão do arquivo for SVG, assegure que a sanitização adequada seja realizada.