CVE-2026-30974

Nome do Software Vulnerável e Versões Afetadas Copyparty versões anteriores a 1.20.11

Descrição A opção de configuração nohtml do Copyparty, projetada para bloquear a execução de JavaScript em arquivos HTML carregados, não se estendia a imagens SVG. Um usuário com permissão de escrita poderia carregar um arquivo SVG contendo JavaScript embutido. Ao ser aberto por outro usuário, esse JavaScript seria executado no contexto do usuário que o abrisse. Isso poderia permitir que um ator malicioso movesse, excluísse ou carregasse arquivos usando a conta do usuário que abrisse o SVG. A opção nohtml bloqueava corretamente a execução de JavaScript em arquivos HTML, mas não levava em consideração imagens SVG.

Recomendações Atualize para a versão 1.20.11 ou posterior.