CVE-2026-39425

Name of the Vulnerable Software and Affected Versions MaxKB versões anteriores a 2.8.0

Description Usuários autenticados podem injetar HTML e JavaScript arbitrários no campo de prólogo do Aplicativo (Observações de Abertura) ao envolver cargas maliciosas em tags . O backend não sanitiza nem codifica entidades HTML no campo de prólogo quando os aplicativos são criados ou atualizados através do endpoint '/admin/api/workspace/{workspace id}/application', armazenando a carga bruta no banco de dados. O frontend renderiza esse conteúdo usando um mecanismo equivalente ao innerHTML, permitindo a execução persistente de Cross-Site Scripting (XSS) baseado em DOM contra qualquer visitante que abra a interface do chatbot afetada. Isso pode levar ao sequestro de sessão, exposição de dados sensíveis e ações não autorizadas, como a exclusão de espaços de trabalho ou aplicativos.

Recommendations Atualizar para a versão 2.8.0.