CVE-2026-41472

Name of the Vulnerable Software and Affected Versions CyberPanel versões anteriores a 2.4.4

Description Um problema de cross-site scripting armazenado existe no painel do AI Scanner. O endpoint '/api/ai-scanner/callback' não requer autenticação, permitindo que atacantes não autenticados injetem JavaScript malicioso ao sobrescrever o campo findings json dos registros de ScanHistory. Esse script é executado na sessão autenticada de um administrador ao visitar o painel do AI Scanner, o que pode ser usado para emitir solicitações de mesma origem para implantar cron jobs e alcançar a execução remota de código no servidor.

Recommendations Atualizar para a versão 2.4.4 ou posterior.