CVE-2025-25062

Nome do Software Vulnerável e Versões Afetadas: Versões do Backdrop CMS 1.28.x até 1.28.4 Versões do Backdrop CMS 1.29.x até 1.29.2

Descrição: Uma vulnerabilidade de cross-site scripting (XSS) foi descoberta no Backdrop CMS ao utilizar o editor de texto rich text CKEditor 5. O problema surge porque o sistema não isola suficientemente o conteúdo de texto longo, permitindo que um potencial atacante crie HTML e JavaScript especializados que podem ser executados quando um administrador tenta editar um conteúdo. Este problema é mitigado pelo fato de que um atacante deve ter a capacidade de criar conteúdo de texto longo e um administrador deve editar o conteúdo que contém o conteúdo malicioso.

Recomendações: Para as versões do Backdrop CMS 1.28.x até 1.28.4, atualize para a versão 1.28.5 ou posterior. Para as versões do Backdrop CMS 1.29.x até 1.29.2, atualize para a versão 1.29.3 ou posterior. Como solução temporária, considere desativar o módulo CKEditor 5 até que uma correção esteja disponível. Restrinja o acesso aos formulários de nó ou comentário para minimizar o risco de exploração.