PT-2025-35205 · Openatlas · Openatlas
Andrea Intilangelo
·
Publicado
2025-08-29
·
Atualizado
2025-09-01
·
CVE-2025-40704
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
OpenAtlas versão 8.9.0
Descrição
Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no OpenAtlas devido à validação insuficiente da entrada do usuário recebida através de requisições POST. Isso poderia permitir que um usuário remoto enviasse consultas manipuladas para um usuário autenticado, potencialmente roubando detalhes de cookies de sessão. A vulnerabilidade é acionada via endpoint da API
/insert/edition, especificamente através do parâmetro name.Recomendações
Garanta a validação e sanitização adequadas da entrada do usuário para o parâmetro
name no endpoint da API /insert/edition.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openatlas