CVE-2026-34569

Name of the Vulnerable Software and Affected Versions CI4MS versões anteriores a 0.31.0.0

Description A aplicação não sanitiza corretamente as entradas controladas pelo usuário ao criar ou editar categorias de blog. Um invasor pode injetar um payload JavaScript malicioso no campo de título da categoria, que é então armazenado no servidor. Este payload armazenado é posteriormente renderizado de forma insegura em páginas de categorias de blog voltadas para o público, interfaces administrativas e visualizações de postagens de blog sem a codificação de saída adequada, levando a um XSS armazenado. A funcionalidade afetada inclui a criação e edição de categorias de blog, bem como a lógica de armazenamento e recuperação para categorias de blog. O ataque envolve a criação ou edição de um título de categoria de blog com um payload XSS, que então é executado automaticamente quando o título da categoria é renderizado. Os endpoints da API afetados são /backend/blogs/categories/ e /blog/{id}.

Recommendations Atualize para a versão 0.31.0.0 ou posterior para resolver este problema. Evite métodos de manipulação de DOM inseguros, como .html() e innerHTML. Implemente a codificação de entidades HTML em todos os dados controlados pelo usuário antes de renderizá-los no navegador. Implemente a sanitização de entrada para garantir que todas as entradas fornecidas pelo usuário sejam devidamente sanitizadas antes do processamento ou saída.