CVE-2026-23757

Name of the Vulnerable Software and Affected Versions GFI HelpDesk versões anteriores a 4.99.10

Description Um problema de cross-site scripting armazenado existe no módulo de Relatórios. O parâmetro title é passado diretamente para a função SWIFT Report::Create() sem a sanitização de HTML. Isso permite que atacantes injetem JavaScript arbitrário no campo de título do relatório durante a criação ou edição de um relatório. O payload injetado é executado quando membros da equipe visualizam e clicam no link do relatório afetado na interface de Gerenciamento de Relatórios.

Recommendations Atualize para a versão 4.99.10 ou posterior. Como medida paliativa temporária, restrinja o acesso ao módulo de Relatórios ou evite usar o parâmetro title na interface afetada até que a atualização seja aplicada.