CVE-2025-34281

Nome do Software Vulnerável e Versões Afetadas Versões do ThingsBoard anteriores à 4.2.1

Descrição O software contém uma vulnerabilidade de cross-site scripting (XSS) armazenado no recurso de Galeria de Upload de Imagem do dashboard. Um invasor pode carregar um arquivo Scalable Vector Graphics (SVG) contendo JavaScript malicioso. Este JavaScript pode ser executado quando o arquivo é renderizado na interface do usuário. O problema deve-se à sanitização inadequada e à validação imprópria do tipo de conteúdo (content-type) dos arquivos SVG carregados.

Recomendações Atualize para a versão 4.2.1 ou posterior.