CVE-2025-25461

Nome do Software Vulnerável e Versões Afetadas SeedDMS versão 6.0.29

Descrição Existe uma vulnerabilidade de Cross-Site Scripting Armazenado (Stored XSS), permitindo que um usuário ou administrador mal-intencionado com a permissão "Add Category" injete um payload malicioso no campo de nome da categoria. Quando um documento é associado a esta categoria, o payload é armazenado no servidor e renderizado sem a devida sanitização, resultando na execução do payload no navegador de qualquer usuário que visualize o documento.

Recomendações Para o SeedDMS versão 6.0.29, como solução temporária, considere restringir a permissão "Add Category" a usuários confiáveis até que um patch esteja disponível. Além disso, evite utilizar o campo de nome da categoria para qualquer entrada potencialmente maliciosa até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.