PT-2026-54760 · Unknown · Geonetwork
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-39379
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
GeoNetwork versões 3.x e 4.0.x
GeoNetwork versões anteriores a 4.2.15
GeoNetwork versões anteriores a 4.4.10
Description
O GeoNetwork reflete conteúdo controlado por um invasor em uma página de erro quando um usuário solicita uma URL de serviço inexistente ou não autorizada. Como a página de erro é uma aplicação AngularJS, esse conteúdo pode ser avaliado como uma expressão de template do lado do cliente, permitindo Cross-Site Scripting (XSS) refletido via injeção de template do lado do cliente. Um invasor pode enganar um usuário para visitar um link manipulado para executar JavaScript arbitrário no navegador da vítima, potencialmente exfiltrando informações ou realizando ações em nome da vítima, como a coleta de credenciais por meio de um formulário de login falso.
Recommendations
Atualizar as versões 3.x e 4.0.x do GeoNetwork para um lançamento suportado (4.2.15 ou posterior, ou 4.4.10 ou posterior).
Atualizar versões anteriores a 4.2.15 para a versão 4.2.15 ou posterior.
Atualizar versões anteriores a 4.4.10 para a versão 4.4.10 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Geonetwork