CVE-2026-48821

Nome do Software Vulnerável e Versões Afetadas Shaarli versões anteriores a 0.16.2

Description Um problema de Cross-Site Scripting (XSS) baseado em DOM existe no recurso Thumbnail Synchronizer. Quando um administrador executa o processo de atualização de miniaturas, títulos de favoritos maliciosos são retornados via resposta AJAX e inseridos no Document Object Model (DOM) usando innerHTML sem a sanitização adequada. Isso ocorre porque o método ThumbnailsController::ajaxUpdate() retorna dados de favoritos usando o formatador 'raw', que inclui títulos não escapados na resposta JSON. O script do lado do cliente thumbnails-update.js então processa essa resposta para atualizar a interface de progresso. A exploração pode levar ao sequestro de sessão, escalonamento de privilégios, injeção de backdoor e comprometimento total do sistema.

Recommendations Atualizar para a versão 0.16.2.