CVE-2025-60299

Nome do Software Vulnerável e Versões Afetadas Novel-Plus versão 5.2.0

Descrição Um usuário autenticado pode injetar JavaScript malicioso através do parâmetro replyContent ao responder a um comentário de livro via endpoint /book/addCommentReply. O payload malicioso é armazenado no banco de dados e executado nos navegadores de outros usuários quando eles visualizam o thread de comentários afetado. Trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado.

Recomendações Aplique validação de entrada e codificação de saída ao parâmetro replyContent no endpoint /book/addCommentReply.