CVE-2026-41518

Nome do Software Vulnerável e Versões Afetadas Chartbrew versões 4.9.0 a 5.0.0

Description Um usuário autenticado com permissões de editor de projeto pode armazenar HTML e JavaScript arbitrários no campo ChartDatasetConfig.legend. Esse payload é salvo no banco de dados e injetado no elemento DOM da dica de ferramenta (tooltip) por meio de uma atribuição innerHTML não protegida no arquivo ChartTooltip.js. Consequentemente, qualquer visualizador não autenticado de um painel público disparará a execução do JavaScript ao carregar a página, sem a necessidade de qualquer interação. Trata-se de um problema de Cross-Site Scripting (XSS) Armazenado, onde scripts maliciosos são permanentemente armazenados no servidor alvo e servidos a outros usuários.

Recommendations Atualizar para a versão 5.0.1.