CVE-2026-23756

Name of the Vulnerable Software and Affected Versions GFI HelpDesk versões anteriores a 4.99.9

Description Um problema de cross-site scripting armazenado existe no módulo Troubleshooter. Um membro da equipe autenticado pode injetar JavaScript arbitrário no campo de assunto da etapa porque o parâmetro POST 'subject' não é sanitizado nas funções Controller Step.InsertSubmit() e EditSubmit() antes de ser renderizado por View Step.RenderViewSteps(). O payload é executado quando um usuário navega até Troubleshooter > View Troubleshooter e clica no link da etapa afetada.

Recommendations Atualize para a versão 4.99.9 ou posterior. Como medida paliativa temporária, restrinja o acesso ao módulo Troubleshooter para membros da equipe que não necessitem dele.