CVE-2026-39422

Name of the Vulnerable Software and Affected Versions MaxKB versões anteriores a 2.8.0

Description Um problema de Cross-Site Scripting (XSS) Armazenado existe ao criar uma aplicação através dos campos de nome ou ícone da aplicação. Quando um usuário visita a interface de chat pública '/ui/chat/{access token}', o ChatHeadersMiddleware recupera os dados da aplicação e insere o nome e o ícone não escapados na resposta HTML usando substituição de string. Isso permite a execução de JavaScript arbitrário no contexto do navegador da vítima.

Recommendations Atualizar para a versão 2.8.0.