CVE-2026-37503

Nome do Software Vulnerável e Versões Afetadas V2Board versões anteriores a 1.7.5

Descrição O Cross-Site Scripting (XSS) ocorre quando o campo custom html na configuração do tema é renderizado usando a saída Blade não escapada no arquivo 'public/theme/v2board/dashboard.blade.php'. Um administrador pode injetar JavaScript arbitrário através do endpoint de API 'saveThemeConfig'. Isso permite a execução de payloads para todos os visitantes do site, o que pode levar ao sequestro de sessão, roubo de cookies ou phishing.

Recomendações Atualize para uma versão posterior a 1.7.4. Como medida paliativa temporária, restrinja o acesso ao endpoint de API 'saveThemeConfig' ou evite usar o campo custom html na configuração do tema.