CVE-2026-41200

Name of the Vulnerable Software and Affected Versions STIG Manager versões 1.5.10 até 1.6.7

Description Ocorre Cross-Site Scripting (XSS) refletido no código de tratamento de erros de autenticação OIDC em src/init.js e public/reauth.html. Durante o fluxo de redirecionamento OIDC, os parâmetros de consulta error e error description retornados pelo provedor OIDC são gravados diretamente no DOM via innerHTML sem a devida filtragem de HTML. Isso permite que um invasor execute JavaScript arbitrário no contexto de origem da aplicação ao convencer um usuário a seguir uma URL de redirecionamento maliciosa. Se o usuário possuir uma sessão ativa em outra aba, o código injetado pode se comunicar com o SharedWorker que gerencia o token de acesso para realizar requisições de API autenticadas, como a leitura e modificação de dados de coleção.

Recommendations Atualizar para a versão 1.6.8.