CVE-2026-34989

Nome do Software Vulnerável e Versões Afetadas O nome do produto não pode ser determinado. (versões afetadas não especificadas)

Descrição A aplicação não sanitiza adequadamente as entradas controladas pelo usuário ao atualizar os nomes de perfil, permitindo que um invasor injete um payload JavaScript malicioso. Este payload é armazenado no servidor e executado quando o nome é renderizado em várias visualizações da aplicação, levando a um script entre sites (XSS) armazenado. A vulnerabilidade afeta a lógica de armazenamento e recuperação do perfil do usuário, bem como endpoints como /backend/users/profile/ e /backend/users/. A vulnerabilidade pode levar à escalada de privilégios e à tomada de conta, especialmente quando visualizada por administradores e em páginas públicas que exibem perfis de usuário. O cenário de ataque envolve um invasor atualizando seu nome de perfil com um payload XSS, que então é executado nos navegadores dos usuários que visualizam o perfil, levando potencialmente à escalada de privilégios administrativos e à tomada de conta total da conta de administrador.