28 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a xss.
Ivanti lançou o patch 2024 SU4 SR1 para Endpoint Manager, corrigindo CVE-2025-10573 (Stored XSS, CVSS 9.6) e outras três falhas altas. A fabricante não reporta exploração ativa; recomendação é aplicar a atualização ou remover exposição pública do console administrativo.
CVE-2025-66412 no @angular/compiler é uma Stored XSS que permite execução via atributos de animação SVG. Versões corrigidas: 19.2.17, 20.3.15, 21.0.2; mitigação: atualizar e aplicar CSP.
CISA incluiu a vulnerabilidade CVE-2021-26829 (XSS, CVSS 5.4) do OpenPLC ScadaBR em seu catálogo Known Exploited Vulnerabilities, citando exploração ativa. A falha afeta versões para Windows e Linux; as fontes não detalham vetores, PoC ou escopo de vítimas.
A CISA adicionou CVE-2021-26829 (XSS em OpenPLC ScadaBR) ao seu catálogo KEV em 28/11/2025, informando exploração ativa. A falha em system_settings.shtm permite injeção de script no navegador de administradores, com risco a redes OT; há orientação de correção imediata e prazo de remediação para agências FCEB até 19/12/2025.
A Microsoft anunciou que bloqueará a execução de scripts externos na página de login do Entra ID (login.microsoftonline.com), com aplicação global prevista para meados/final de outubro de 2026; a medida visa mitigar ataques XSS e recomenda que administradores testem fluxos de login previamente.
A Microsoft atualizará a Content Security Policy do Microsoft Entra ID para bloquear scripts externos durante sign-ins em login.microsoftonline.com, permitindo apenas código de domínios Microsoft confiáveis; administradores devem testar fluxos e remover extensões que injetem scripts antes da aplicação global, prevista para outubro de 2026.
Elastic Security descreve CVE-2025-37734: uma falha de validação de origem no Observability AI Assistant de Kibana que permite SSRF e XSS. Versões afetadas incluem Kibana 8.12.0‑8.19.6, 9.1.0‑9.1.6 e 9.2.0; Elastic liberou 8.19.7, 9.1.7 e 9.2.1. Clientes Elastic Cloud Serverless já estão protegidos.
A CVE-2025-12101 é uma vulnerabilidade de XSS em NetScaler ADC/Gateway que afeta deployments configurados como Gateway ou AAA virtual servers; possui CVSSv4 5.9 e exige atualização para releases listadas para mitigar o risco.