CVE-2025-14202

Nome do Software Vulnerável e Versões Afetadas (versões afetadas não especificadas)

Descrição Existe uma falha no processo de upload de arquivos dentro do pipeline de renderização de bookmark e asset. Um atacante pode fazer upload de um arquivo SVG malicioso contendo código JavaScript. Quando um usuário administrador autenticado visualiza este arquivo SVG, o JavaScript incorporado é executado em seu navegador. Este JavaScript recupera o token de Cross-Site Request Forgery (CSRF) e o utiliza para enviar uma solicitação para modificar a senha do administrador, levando à tomada completa da conta. O ataque visa os componentes bookmark e asset rendering pipeline.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.