28 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a xss.
O GitLab lançou patches para múltiplas vulnerabilidades de alta severidade (incluindo CVE‑2025‑7659) que permitem furto de tokens, DoS e XSS. Instâncias self‑hosted devem atualizar para 18.8.4/18.7.4/18.6.6 e planejar janelas de manutenção.
Fortinet corrigiu CVE‑2025‑52436, um XSS refletido em FortiSandbox PaaS que permite execução de comandos sem autenticação através da GUI. Patches já estão disponíveis (4.4.8+, 5.0.5+) e a recomendação é aplicar atualizações ou isolar o acesso ao GUI imediatamente.
Roundcube corrigiu uma vulnerabilidade em seu sanitizador HTML que permitia carregar recursos remotos via SVG (<feImage>), comprometendo a opção de bloquear imagens remotas. As versões 1.5.13 e 1.6.13 incluem o patch; administradores self-hosted devem atualizar imediatamente.
Foxit corrigiu duas vulnerabilidades XSS (CVE-2026-1591 e CVE-2026-1592) em PDF Editor Cloud; atualizações foram aplicadas em 3/2/2026 e clientes desktop devem atualizar manualmente.
Uma falha de XSS no painel web usado por operadores do StealC permitiu que pesquisadores sequestrassem sessões ativas e coletassem informações sobre o hardware dos atacantes. A matéria não traz dados sobre escala, identidade dos pesquisadores nem medidas de mitigação adotadas.
CVE-2026-22610 é uma falha de XSS no esquema de sanitização do compilador de templates do Angular que trata atributos href/xlink:href de elementos SVG como strings comuns, permitindo execução de JavaScript. O advisory do GitHub lista versões afetadas e versões corrigidas (incluindo 19.2.18, 20.3.16, 21.0.7 e 21.1.0-rc.0). Aplicações que usam bindings dinâmicos em SVG devem priorizar atualização ou aplicar validação server‑side até o patch.
O OWASP Core Rule Set (CRS) publicou correções para CVE‑2026‑21876, uma falha crítica (CVSS 9.3) na regra 922110 que permitia bypass da validação de charset em requisições multipart. Versões afetadas incluem CRS 3.3.x (até 3.3.7) e 4.0.0–4.21.0. O projeto recomenda atualização imediata para CRS 3.3.8 ou 4.22.0; as correções verificam cada parte multipart individualmente.
GitLab liberou correções de emergência (18.7.1, 18.6.3, 18.5.5) em 7/1/2026 para oito vulnerabilidades, incluindo CVE‑2025‑9222 (XSS armazenada, CVSS 8.7). Administradores self‑hosted devem atualizar imediatamente; single‑node requer migração com downtime.
GitLab divulgou patches para dez vulnerabilidades (incluindo XSS e DoS via GraphQL) e liberou versões 18.6.2, 18.5.4 e 18.4.6. Instâncias self‑hosted devem atualizar imediatamente; GitLab.com já executa as versões corrigidas.
Segundo o SecurityWeek, a Adobe publicou correções que totalizam quase 140 vulnerabilidades; o update do Experience Manager resolve 117 falhas, entre elas 116 XSS. A matéria não lista CVEs nem indica exploração ativa; usuários devem seguir os boletins oficiais da Adobe para aplicar patches e validar integridade das aplicações.