CVE-2026-23758

Name of the Vulnerable Software and Affected Versions GFI HelpDesk versões anteriores a 4.99.9

Description Um problema de cross-site scripting armazenado existe no campo de assunto do ticket. Membros da equipe autenticados podem injetar JavaScript malicioso manipulando o parâmetro POST 'editsubject'. Isso ocorre devido à sanitização inadequada na função Controller Ticket.EditSubmit(), que ignora o método SanitizeForXSS() incompleto, permitindo a execução de JavaScript arbitrário quando outros membros da equipe ou administradores visualizam o ticket afetado.

Recommendations Atualize para a versão 4.99.9 ou posterior. Como medida paliativa temporária, restrinja o acesso à função Controller Ticket.EditSubmit() ou ao parâmetro 'editsubject' para minimizar o risco de exploração.