CVE-2026-40487 in postiz-appinformação

Sumário

de VulDB • 05/06/2026

O Postiz é uma ferramenta de agendamento de redes sociais baseada em IA. Antes da versão 2.21.6, uma falha na validação de upload de arquivos permite que qualquer usuário autenticado envie arquivos HTML arbitrários, SVG ou outros tipos de arquivos executáveis para o servidor, falsificando o cabeçalho `Content-Type`. Os arquivos enviados são então servidos pelo nginx com um Content-Type derivado de sua extensão original (`text/html`, `image/svg+xml`), permitindo Stored Cross-Site Scripting (XSS) no contexto da origem da aplicação. Isso pode levar a session riding, takeover de contas e comprometimento total das contas de outros usuários. A versão 2.21.6 contém a correção.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

13/04/2026

Divulgação

18/04/2026

Moderação

aceite

Entrada

VDB-358188

CPE

pronto

EPSS

0.00023

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40487
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40487
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40487/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!