CVE-2026-34598

**Name of the Vulnerable Software and Affected Versions YesWiki versões anteriores a 4.6.0

**Description Existe uma vulnerabilidade de scripting entre sites (XSS) armazenado e cego no campo de título do formulário. Um invasor pode injetar JavaScript sem autenticação através de um título de formulário que é salvo no banco de dados de back-end. Quando um usuário visita a página afetada, o payload JavaScript é executado. A vulnerabilidade ocorre porque a aplicação armazena dados de entrada maliciosos do usuário em seu banco de dados de back-end e os renderiza posteriormente em uma página visualizada por outros usuários sem a devida sanitização ou codificação. O invasor pode injetar payloads JavaScript no campo de título de um formulário, que a aplicação armazena no banco de dados. Quando qualquer usuário visualiza a página que exibe este título, o script malicioso é executado no contexto do navegador dele. Uma prova de conceito envolve visitar uma URL de formulário específica, injetar um script nos campos 'Nome do evento' e 'Descrição' e salvar o registro. O payload é então executado quando qualquer pessoa visita o registro do diário.

**Recommendations Atualize para a versão 4.6.0 ou posterior do YesWiki.