CVE-2025-27145

Nome do Software Vulnerável e Versões Afetadas Versões do copyparty anteriores à 1.16.15

Descrição O problema consiste em uma vulnerabilidade de cross-site scripting baseada em DOM. Ela pode ser acionada ao fornecer a alguém um arquivo com nome malicioso e, em seguida, induzir o usuário a arrastar o arquivo para a Web-UI do copyparty. Isso pode permitir que um atacante execute JavaScript arbitrário com os mesmos privilégios do usuário, potencialmente concedendo acesso de leitura não autorizado a arquivos de propriedade desse usuário. O bug é acionado pela própria ação de arrastar e soltar e requer um arquivo vazio (zero bytes).

Recomendações Para versões anteriores à 1.16.15, atualize para a versão 1.16.15 ou posterior para resolver o problema. Como medida temporária, considere restringir o acesso à Web-UI ou evitar o uso da funcionalidade de arrastar e soltar com arquivos não confiáveis.