CVE-2026-24907

Name of the Vulnerable Software and Affected Versions October versões anteriores a 3.7.14 October versões anteriores a 4.1.10

Description Um problema de cross-site scripting (XSS) armazenado existe no recurso de pré-visualização de e-mail do Event Log. O conteúdo HTML em mensagens de e-mail registradas é renderizado em um iframe sem o sandboxing adequado, o que permite a execução de JavaScript no contexto do navegador do visualizador. Isso pode levar à escalada de privilégios se um superusuário visualizar uma entrada de log maliciosa. A exploração requer acesso autenticado ao backend com permissões de edição de modelo de e-mail e que um superusuário visualize a entrada específica do Event Log.

Recommendations Atualizar para a versão 3.7.14. Atualizar para a versão 4.1.10. Restringir as permissões de edição de modelos de e-mail apenas a administradores totalmente confiáveis. Restringir as permissões de visualização do Event Log para minimizar a exposição.