CVE-2026-34212

Name of the Vulnerable Software and Affected Versions Docmost versões anteriores a 0.71.0

Description A neutralização inadequada de URLs de anexos permite que um usuário autenticado de baixo privilégio armazene uma URL javascript: maliciosa dentro de um nó de anexo no conteúdo da página. Quando outro usuário visualiza a página e ativa o link ou ícone do anexo, o JavaScript controlado pelo invasor é executado no contexto da origem do Docmost. Este é um problema de Cross-Site Scripting (XSS) Armazenado, onde um script é permanentemente armazenado no servidor alvo e executado no navegador da vítima.

Recommendations Atualizar para a versão 0.71.0.