CVE-2021-47925

Nome do Software Vulnerável e Versões Afetadas CMDBuild versão 3.3.2

Descrição Atacantes autenticados podem injetar HTML ou scripts web arbitrários por meio de entradas manipuladas. Isso ocorre através dos endpoints de criação de cartões e upload de arquivos, especificamente por meio de parâmetros de cartões de Funcionário ou anexos de arquivos SVG no endpoint de classes. Os scripts injetados são executados quando outros usuários visualizam os registros afetados ou visualizam os anexos. Cross-site scripting (XSS) armazenado é uma falha onde um script malicioso é armazenado permanentemente no servidor alvo.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.