CVE-2026-7429

Nome do Software Vulnerável e Versões Afetadas SSCMS versão 7.4.0

Descrição Um problema de cross-site scripting refletido existe no endpoint de processamento STL. Atacantes podem executar JavaScript arbitrário ao criar payloads de template STL maliciosos que são descriptografados e retornados sem a sanitização adequada. Especificamente, a codificação de saída inadequada no endpoint "/api/stl/actions/dynamic" permite a injeção de JavaScript executável em respostas JSON, o que pode levar ao sequestro de sessão, ataques de phishing e ações não autorizadas realizadas em nome dos usuários.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.