PT-2026-60099 · Easyadmin · Easyadmin

Publicado

2026-07-14

·

Atualizado

2026-07-14

·

CVE-2026-54087

CVSS v3.1

7.6

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas EasyAdmin (versões afetadas não especificadas)
Description Ocorre Cross-Site Scripting (XSS) armazenado porque FileField e ImageField aceitam tipos de arquivos executáveis pelo navegador por padrão. O FileField não aplica restrições de MIME ou extensão, enquanto o ImageField aceita arquivos SVG. Quando o diretório de upload está localizado na raiz pública da web, os arquivos são vinculados inline, sem o atributo de download ou o cabeçalho Content-Disposition: attachment. Um invasor pode fazer o upload de um arquivo .html ou .svg contendo JavaScript; quando um administrador autenticado abre o arquivo, o script é executado no contexto de sua sessão, permitindo potencialmente o roubo de sessão, roubo de token CSRF ou escalonamento de privilégios. Este problema requer que o desenvolvedor armazene os uploads no diretório público e que haja uma diferença de privilégios entre quem faz o upload e quem visualiza o arquivo.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Unrestricted File Upload

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54087
GHSA-8559-GWJ3-Q37R

Produtos afetados

Easyadmin