PT-2026-54760 · Unknown · Geonetwork

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-39379

CVSS v3.1

7.1

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas GeoNetwork versões 3.x e 4.0.x GeoNetwork versões anteriores a 4.2.15 GeoNetwork versões anteriores a 4.4.10
Description O GeoNetwork reflete conteúdo controlado por um invasor em uma página de erro quando um usuário solicita uma URL de serviço inexistente ou não autorizada. Como a página de erro é uma aplicação AngularJS, esse conteúdo pode ser avaliado como uma expressão de template do lado do cliente, permitindo Cross-Site Scripting (XSS) refletido via injeção de template do lado do cliente. Um invasor pode enganar um usuário para visitar um link manipulado para executar JavaScript arbitrário no navegador da vítima, potencialmente exfiltrando informações ou realizando ações em nome da vítima, como a coleta de credenciais por meio de um formulário de login falso.
Recommendations Atualizar as versões 3.x e 4.0.x do GeoNetwork para um lançamento suportado (4.2.15 ou posterior, ou 4.4.10 ou posterior). Atualizar versões anteriores a 4.2.15 para a versão 4.2.15 ou posterior. Atualizar versões anteriores a 4.4.10 para a versão 4.4.10 ou posterior.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-39379
GHSA-2V4M-FW6C-G78F

Produtos afetados

Geonetwork