PT-2025-35097 · Formcms · Formcms

Kkc73

+1

·

Publicado

2025-08-28

·

Atualizado

2025-08-29

·

CVE-2025-56236

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
Nome do Software Vulnerável e Versões Afetadas FormCms versão 0.5.5
Descrição O FormCms versão 0.5.5 contém uma vulnerabilidade de cross-site scripting (XSS) armazenado na funcionalidade de upload de avatar. Usuários autenticados podem enviar arquivos .html contendo JavaScript malicioso, que ficam acessíveis através de uma URL pública. Quando um usuário privilegiado acessa o arquivo, o script é executado no contexto do navegador dele.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

XSS

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-434

Identificadores relacionados

CVE-2025-56236
GHSA-4FXF-XGRM-8FCJ

Produtos afetados

Formcms