CVE-2025-11952

Nome do Software Vulnerável e Versões Afetadas Oct8ne Chatbot versão 2.3

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado no Oct8ne Chatbot versão 2.3. Isso permite que um atacante execute código JavaScript no navegador de uma vítima injetando um payload malicioso através da criação de uma transcrição enviada por e-mail. A exploração pode levar ao roubo de dados sensíveis do usuário, como cookies de sessão, ou à realização de ações em nome do usuário. O vetor de ataque envolve o endpoint da API /Records/SendSummaryMail.

Recomendações Atualize o Oct8ne Chatbot para uma versão mais recente que corrija este problema. Como solução temporária, faça a sanitização de todas as entradas fornecidas pelo usuário antes de serem armazenadas ou exibidas para prevenir a injeção de scripts maliciosos. Restrinja o acesso ao endpoint /Records/SendSummaryMail apenas para usuários autorizados.