CVE-2025-40902

Nome do Software Vulnerável e Versões Afetadas O nome do produto não pôde ser determinado (versões afetadas não especificadas)

Descrição Um problema de injeção de HTML armazenado existe na funcionalidade de Usuários, causado pela validação inadequada de um parâmetro de entrada. Um usuário autenticado com privilégios administrativos pode criar uma conta de usuário com um nome de usuário contendo tags HTML. Quando outro usuário tenta excluir um grupo que inclua esse usuário malicioso, o HTML injetado é renderizado no navegador. Isso pode ser usado para facilitar ataques de phishing ou redirecionamento aberto. A exploração completa de Cross-Site Scripting (XSS) — uma técnica onde scripts maliciosos são injetados em sites confiáveis — e a divulgação direta de informações são mitigadas pelas configurações atuais de validação de entrada e Política de Segurança de Conteúdo (CSP).

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.