PT-2026-45357 · Unknown · Soplanning
Łukasz Jaworski
·
Publicado
2026-06-01
·
Atualizado
2026-06-01
·
CVE-2026-40544
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
SOPlanning versões anteriores a 1.56
Description
Ocorre Cross-Site Scripting (XSS) Armazenado através do endpoint '/process/upload backup'. Um invasor autenticado com acesso à funcionalidade de backup pode carregar um arquivo ZIP manipulado contendo um arquivo
user.csv malicioso com JavaScript incorporado. O código injetado é executado no navegador da vítima quando o botão Edit do backup malicioso é clicado.Recommendations
Atualize para uma versão posterior a 1.55.
Restrinja o acesso ao endpoint '/process/upload backup' para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Soplanning