CVE-2025-65442

Nome do Software Vulnerável e Versões Afetadas 201206030 novel versão 3.5.0

Descrição Um problema de Cross-Site Scripting (XSS) baseado em DOM existe no módulo de comentários de livros devido à validação e codificação insuficientes de dados controláveis pelo usuário. Entradas não filtradas são armazenadas no campo commentContent da tabela book comment e retornadas via API, sendo então renderizadas no DOM da página usando a diretiva v-html do Vue 3 sem sanitização. Atacantes remotos podem executar código JavaScript arbitrário ou divulgar informações sensíveis, como cookies de sessão de usuário, utilizando um parâmetro wvstest manipulado na URL ou injetando scripts maliciosos no window.localStorage. Atacantes podem usar payloads ocultos para burlar filtros de XSS integrados aos navegadores.

Recomendações Para a versão 3.5.0, sanitize todos os dados controláveis pelo usuário antes de renderizá-los via diretiva v-html e implemente a validação rigorosa para o parâmetro wvstest. Como medida paliativa temporária, restrinja o uso do módulo de comentários de livros ou desative a diretiva v-html para conteúdo gerado pelo usuário até que uma correção permanente seja aplicada.