CVE-2025-40891

Nome do Software Vulnerável e Versões Afetadas Time Machine (versões afetadas não especificadas)

Descrição Existe um problema de Injeção de HTML Armazenada na funcionalidade Time Machine Snapshot Diff devido à validação inadequada de dados de tráfego de rede. Um atacante que não necessita de autenticação pode enviar pacotes de rede forjados em momentos específicos para injetar tags HTML em atributos de ativos entre dois snapshots. Para explorar isso com sucesso, um usuário deve utilizar o recurso Time Machine Snapshot Diff nos snapshots alvo e realizar ações específicas na interface gráfica, o que fará com que o HTML injetado seja renderizado em seu navegador. Isso pode levar a ataques de phishing e redirecionamento aberto. Embora a exploração completa de Cross-Site Scripting (XSS) seja impedida pela validação de entrada e pela Política de Segurança de Conteúdo, o HTML injetado ainda pode representar um risco. A complexidade da exploração é alta devido às múltiplas condições que devem ser atendidas.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.