CVE-2025-61681

Nome do Software Vulnerável e Versões Afetadas Versões do KUNO CMS anteriores à 1.3.14

Descrição O KUNO CMS, uma aplicação de blog full-stack, possui falhas em sua funcionalidade de upload de arquivos. O processo de upload valida os tipos de arquivo apenas com base nos cabeçalhos Content-Type e não analisa o conteúdo do arquivo nem impõe listas de extensões permitidas. Isso permite que atacantes façam upload de arquivos SVG contendo scripts maliciosos, disfarçados como imagens. Quando os usuários acessam as páginas que exibem esses recursos carregados, JavaScript arbitrário é executado em seus navegadores. O endpoint de API afetado é a funcionalidade de upload de arquivos. O parâmetro vulnerável é o próprio arquivo.

Recomendações Atualize o KUNO CMS para a versão 1.3.14 ou posterior.