PT-2026-35446 · Projeqtor · Projeqtor
Noé Susset
+1
·
Publicado
2026-04-27
·
Atualizado
2026-04-27
·
CVE-2026-41467
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
ProjeQtor versões 7.0 a 12.4.3
Descrição
Um problema de cross-site scripting armazenado existe na funcionalidade de upload de arquivos. A função
checkValidFileName() falha ao restringir o upload de arquivos HTML e HTM. Atacantes autenticados podem fazer o upload de arquivos contendo JavaScript arbitrário através dos endpoints de upload de imagem ou anexos. Quando um usuário acessa a URL do arquivo enviado, o JavaScript incorporado é executado em seu navegador.Recomendações
Atualize para a versão 12.4.4 ou posterior.
Como medida paliativa temporária, restrinja o uso da função
checkValidFileName() ou dos endpoints de upload de imagem e anexos para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Projeqtor