PT-2025-51944 · Unknown · Projectsend
Mirabbas Ağalarov
·
Publicado
2025-12-17
·
Atualizado
2025-12-26
·
CVE-2023-53906
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
projectSend versão r1605
Descrição
O software contém uma vulnerabilidade de cross-site scripting armazenado. Administradores autenticados podem injetar JavaScript malicioso por meio da página de configuração de ativos personalizados. Um atacante pode criar um payload JavaScript dentro da seção de ativos personalizados, que será executado quando outros usuários acessarem a página afetada, resultando em injeção de script persistente.
Recomendações
Os administradores devem sanitizar ou codificar qualquer conteúdo fornecido pelo usuário na página de configuração de ativos personalizados para prevenir a injeção de scripts maliciosos.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Projectsend