CVE-2025-70849

Nome do Software Vulnerável e Versões Afetadas Versões do podinfo até a 6.9.0

Descrição Existe uma vulnerabilidade de upload arbitrário de arquivos no podinfo até a versão 6.9.0. Atacantes não autenticados podem carregar arquivos arbitrários enviando uma requisição POST manipulada para o endpoint /store. A aplicação não implementa uma Content-Security-Policy (CSP) restritiva nem realiza validação adequada de Content-Type ao renderizar o conteúdo carregado, o que pode levar a Cross-Site Scripting (XSS) Armazenado. Uma Content-Security-Policy (CSP) é um padrão de segurança que ajuda a prevenir ataques XSS ao controlar os recursos que o navegador tem permissão para carregar. A validação de Content-Type é o processo de verificar se o tipo de dados sendo carregado corresponde ao tipo esperado.

Recomendações Atualize o podinfo para uma versão superior à 6.9.0.