PT-2026-56824 · Glpi · Tag Plugin

Chapochapo

·

Publicado

2026-07-09

·

Atualizado

2026-07-09

·

CVE-2026-53987

CVSS v4.0

7.3

Alta

VetorAV:N/AC:L/AT:P/PR:H/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Tag plugin for GLPI 11 versões anteriores a 2.14.4
Description Ocorre cross-site scripting armazenado porque o software armazena nomes de tags sem sanitização HTML e os renderiza na marcação do badge Kanban através da função preKanbanContent() sem a devida codificação de saída. Um usuário autenticado com direitos de criação ou atualização de TAG MANAGEMENT pode definir um nome de tag contendo HTML, que será executado no navegador de qualquer usuário que abrir a visualização Kanban de um ticket, problema, mudança ou projeto ao qual a tag esteja vinculada.
Recommendations Atualize o Tag plugin for GLPI 11 para a versão 2.14.4 ou posterior.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-53987

Produtos afetados

Tag Plugin