PT-2026-56824 · Glpi · Tag Plugin
Chapochapo
·
Publicado
2026-07-09
·
Atualizado
2026-07-09
·
CVE-2026-53987
CVSS v4.0
7.3
Alta
| Vetor | AV:N/AC:L/AT:P/PR:H/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Tag plugin for GLPI 11 versões anteriores a 2.14.4
Description
Ocorre cross-site scripting armazenado porque o software armazena nomes de tags sem sanitização HTML e os renderiza na marcação do badge Kanban através da função
preKanbanContent() sem a devida codificação de saída. Um usuário autenticado com direitos de criação ou atualização de TAG MANAGEMENT pode definir um nome de tag contendo HTML, que será executado no navegador de qualquer usuário que abrir a visualização Kanban de um ticket, problema, mudança ou projeto ao qual a tag esteja vinculada.Recommendations
Atualize o Tag plugin for GLPI 11 para a versão 2.14.4 ou posterior.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tag Plugin