CVE-2026-41661

Nome do Software Vulnerável e Versões Afetadas Admidio versões anteriores a 5.0.9

Descrição Um invasor não autenticado pode executar JavaScript arbitrário no navegador de um usuário por meio de Cross-Site Scripting (XSS) refletido. O problema ocorre no endpoint 'system/msg window.php', que aceita message id e message var1 como parâmetros GET. A aplicação processa message var1 usando htmlspecialchars(), que não codifica colchetes. Posteriormente, a função Language::prepareTextPlaceholders() converte esses colchetes em colchetes angulares HTML, resultando em marcação executável. Isso permite que um invasor ignore a codificação e execute scripts no contexto da origem do Admidio, podendo levar ao roubo de cookies de sessão ou operações administrativas não autorizadas.

Recomendações Atualize para a versão 5.0.9. Como medida paliativa temporária, restrinja o acesso ao endpoint 'system/msg window.php' para minimizar o risco de exploração.