PT-2025-35203 · Openatlas · Openatlas
Andrea Intilangelo
·
Publicado
2025-08-29
·
Atualizado
2025-09-01
·
CVE-2025-40702
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
OpenAtlas versão 8.9.0
Descrição
Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no OpenAtlas devido à validação insuficiente da entrada do usuário recebida por meio de requisições POST. Isso poderia permitir que um usuário remoto enviasse consultas manipuladas para um usuário autenticado, potencialmente roubando detalhes dos cookies de sessão. A vulnerabilidade é acionada por meio do endpoint da API
/insert/file, especificamente através dos parâmetros creator e license holder.Recomendações
Garanta a validação e sanitização adequadas da entrada do usuário para os parâmetros
creator e license holder no endpoint da API /insert/file.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openatlas