CVE-2025-50977

Nome do Software Vulnerável e Versões Afetadas: versões anteriores à 1.7.1

Descrição: Foi identificada uma vulnerabilidade de injeção de template que leva a cross-site scripting refletido (XSS), requerendo acesso de administrador autenticado para exploração. A vulnerabilidade está presente no parâmetro r e permite que invasores injetem expressões Angular maliciosas que executam código JavaScript no contexto da aplicação. A falha pode ser explorada por meio de requisições GET para o endpoint /summary, bem como requisições POST para endpoints específicos da interface Wicket.

Recomendações: Atualize para uma versão anterior à 1.7.1. Restrinja o acesso ao parâmetro r no endpoint /summary. Limite o acesso de administrador autenticado para reduzir o impacto potencial da exploração.