CVE-2025-25190

Nome do Software Vulnerável e Versões Afetadas: Versões do ZOO-Project anteriores ao commit 7a5ae1a

Descrição: O Servidor de Serviço de Processamento Web (WPS) do ZOO-Project contém uma vulnerabilidade de Cross-Site Scripting (XSS) em seu serviço EchoProcess. A vulnerabilidade existe porque o serviço EchoProcess reflete diretamente a entrada do usuário em sua saída sem a sanitização adequada ao lidar com entradas complexas. O serviço aceita vários formatos de entrada, incluindo XML, JSON e SVG, e retorna o conteúdo com base no tipo MIME solicitado. Ao processar conteúdo SVG e retorná-lo com o tipo MIME image/svg+xml, o servidor falha em sanitizar JavaScript potencialmente malicioso em atributos como onload, permitindo a execução arbitrária de JavaScript no contexto do navegador da vítima.

Recomendações: Para versões do ZOO-Project anteriores ao commit 7a5ae1a, atualize para uma versão que inclua a correção implementada no commit 7a5ae1a para resolver o problema. Como solução temporária, considere desabilitar o serviço EchoProcess ou restringir o tratamento de conteúdo SVG para minimizar o risco de exploração. Evite usar o serviço EchoProcess com entradas SVG até que o problema seja resolvido.