CVE-2025-57204

Nome do Software Vulnerável e Versões Afetadas Stocky POS with Inventory Management & HRM (ui-lib) versão 5.0

Descrição O Stocky POS with Inventory Management & HRM (ui-lib) versão 5.0 é afetado por uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado dentro do módulo de Produtos, acessível a usuários autenticados. O problema está localizado no parâmetro de nome do produto submetido ao endpoint de criação de produto via um formulário POST. A sanitização de entrada e a codificação de saída insuficientes permitem que invasores injetem payloads HTML/JS. Esses payloads são armazenados e renderizados sem sanitização em visualizações subsequentes, resultando na execução de JavaScript nos navegadores de outros usuários quando eles acessam as páginas de produto afetadas. Isso permite que um invasor autenticado execute JavaScript arbitrário no contexto de outro usuário, potencialmente possibilitando sequestro de sessão, escalonamento de privilégios, exfiltração de dados ou tomada de conta administrativa. A aplicação não possui uma Política de Segurança de Conteúdo (CSP) restritiva, o que aumenta o potencial de exploração. O parâmetro vulnerável é product name e o endpoint de API afetado é o endpoint de criação de produto.

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, sanitize toda a entrada fornecida pelo usuário para o parâmetro product name antes de armazená-lo. Implemente uma Política de Segurança de Conteúdo (CSP) restritiva para mitigar o risco de ataques XSS.