CVE-2021-47947

Nome do Software Vulnerável e Versões Afetadas Projectsend versão r1295

Descrição Um invasor autenticado pode injetar scripts maliciosos ao enviar entradas manipuladas através do parâmetro name no endpoint 'files-edit.php'. Esses payloads de JavaScript são executados no navegador de outros usuários, afetando especificamente usuários Administradores do Sistema na página do Painel, quando o arquivo é visualizado. Trata-se de um problema de cross-site scripting armazenado, onde um script é permanentemente armazenado no servidor e servido a outros usuários.

Recomendações Como medida paliativa temporária, restrinja o acesso ao endpoint 'files-edit.php' ou evite usar o parâmetro name até que uma correção seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.