CVE-2025-27088

Nome do Software Vulnerável e Versões Afetadas Versões do oxyno-zeta/s3-proxy anteriores à 4.18.1

Descrição Uma vulnerabilidade de Cross-site Scripting (XSS) Refletido permite que atacantes criem URLs maliciosas que, quando visitadas, injetam scripts na aplicação web. Isso pode levar ao sequestro de sessão ou ataques de phishing em um domínio confiável, representando um risco moderado para todos os usuários. É possível injetar elementos HTML, incluindo scripts, através do template folder-list. O template afetado permite que os usuários interajam com o caminho da URL fornecido pela variável Request.URL.Path, que é então renderizado diretamente no HTML sem sanitização ou escape adequados. Isso pode ser abusado por atacantes que criam uma URL maliciosa contendo HTML ou JavaScript injetado. Quando os usuários visitam tal URL, o script malicioso será executado no contexto do usuário.

Recomendações Para resolver o problema, atualize para a versão 4.18.1 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao template folder-list para minimizar o risco de exploração. Evite usar a variável Request.URL.Path no template afetado até que o problema seja resolvido. Não há soluções alternativas conhecidas para esta vulnerabilidade.