CVE-2025-50986

Nome do Software Vulnerável e Versões Afetadas: diskover-web versão 2.3.0

Descrição: O aplicativo não sanitiza adequadamente a entrada fornecida pelo usuário em vários campos de configuração na interface de configurações administrativas, resultando em Cross-Site Scripting (XSS) armazenado. Especificamente, os seguintes parâmetros estão vulneráveis: ES HOST, ES INDEXREFRESH, ES PORT, ES SCROLLSIZE, ES TRANSLOGSIZE, ES TRANSLOGSYNCINT, EXCLUDES FILES, FILE TYPES[], INCLUDES DIRS, INCLUDES FILES e TIMEZONE. Payloads maliciosos submetidos através desses parâmetros são armazenados e executados quando um administrador visualiza ou edita a página de configurações.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.