PT-2026-5331 · Fluentcms · Fluentcms
Jarosław Wawiórko
·
Publicado
2026-01-29
·
Atualizado
2026-03-03
·
CVE-2025-15549
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
FluentCMS versão 2026
Descrição
O FluentCMS versão 2026 apresenta um problema de cross-site scripting armazenado. Administradores autenticados podem enviar arquivos SVG contendo JavaScript por meio do módulo de Gerenciamento de Arquivos. Um invasor pode enviar um arquivo SVG malicioso, e quando um usuário acessar a URL do arquivo, o JavaScript será executado no seu navegador. O módulo vulnerável é o Gerenciamento de Arquivos, e o vetor de ataque envolve o envio de arquivos SVG.
Recomendações
Aplique atualizações para resolver o problema no módulo de Gerenciamento de Arquivos.
Restrinja o envio de arquivos a fontes confiáveis.
Sanitize os arquivos SVG enviados para remover qualquer código JavaScript embutido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fluentcms