CVE-2026-31953

Nome do Software Vulnerável e Versões Afetadas Xibo versões anteriores a 4.4.1

Descrição Um problema de Cross-Site Scripting (XSS) armazenado permite que um usuário autenticado com permissões de criação de notificações injete JavaScript arbitrário no corpo da notificação. Quando uma notificação é configurada como "interrupt", o payload é executado automaticamente no navegador dos usuários visados ao fazer login, sem exigir interação. Isso requer que o invasor possua privilégios para acessar a Central de Notificações e a capacidade de usar o botão "Add Notification", permissões que normalmente não são concedidas a não administradores.

Recomendações Atualizar para a versão 4.4.1. Revogar os privilégios de criação de notificações e de acesso à Central de Notificações de usuários não confiáveis como uma medida paliativa temporária.