CVE-2026-42197

Nome do Software Vulnerável e Versões Afetadas RELATE versões anteriores ao commit 555f0efb1c5bd7531c07cd73724d7e566a81f620

Description Um problema de cross-site scripting armazenado permite que alunos matriculados executem JavaScript arbitrário na sessão do navegador de um administrador, o que pode levar ao controle total da conta administrativa. A função get user() em ParticipationAdmin utiliza mark safe combinado com a formatação de string % do Python para renderizar entradas controladas pelo usuário, ignorando a a escape automática de HTML do Django. Os valores são derivados dos campos first name e last name do modelo User, que podem ser editados por usuários autenticados através do endpoint '/profile/' sem sanitização. O script é executado quando um administrador visualiza a lista de Participação no painel de administração do Django.

Recommendations Atualizar para o commit 555f0efb1c5bd7531c07cd73724d7e566a81f620.