ProjeQtor versions 7.0 through 12.4.3 contain a stored cross-site scripting vulnerability in the file upload functionality where the checkValidFileName() function fails to restrict HTML and HTM file uploads. Authenticated attackers can upload HTML files containing arbitrary JavaScript through the image upload or attachment endpoints, and any user accessing the uploaded file URL will execute the embedded JavaScript in their browser.
ProjeQtor versions 7.0-12.4.3 contain a stored XSS vulnerability in file upload functionality that allows authenticated attackers to upload HTML files with malicious JavaScript. Users accessing these uploaded files will execute the embedded scripts in their browsers, potentially compromising their sessions and data.
تفشل دالة checkValidFileName() في ProjeQtor في تقييد تحميل ملفات HTML و HTM، مما يسمح للمهاجمين المصرحين بتحميل ملفات تحتوي على JavaScript عشوائي. عند وصول أي مستخدم إلى عنوان URL للملف المحمل، سيتم تنفيذ JavaScript المضمن في متصفح المستخدم، مما قد يؤدي إلى سرقة الجلسات والبيانات الحساسة.
إصدارات ProjeQtor من 7.0 إلى 12.4.3 تحتوي على ثغرة XSS مخزنة في وظيفة تحميل الملفات تسمح للمهاجمين المصرحين بتحميل ملفات HTML تحتوي على JavaScript ضار. سيؤدي وصول المستخدمين إلى هذه الملفات المحملة إلى تنفيذ البرامج النصية المضمنة في متصفحاتهم.
Upgrade ProjeQtor to version 12.4.4 or later immediately. Implement file upload restrictions to block HTML and HTM file uploads at the application level. Configure web server to serve uploaded files with Content-Disposition: attachment headers. Implement Content Security Policy (CSP) headers. Conduct security awareness training for users on risks of accessing untrusted file links.
قم بترقية ProjeQtor إلى الإصدار 12.4.4 أو أحدث فوراً. طبق قيود على تحميل الملفات لحظر ملفات HTML و HTM على مستوى التطبيق. قم بتكوين خادم الويب لتقديم الملفات المحملة مع رؤوس Content-Disposition: attachment. طبق رؤوس سياسة أمان المحتوى (CSP). أجرِ تدريباً على الوعي الأمني للمستخدمين بشأن مخاطر الوصول إلى روابط الملفات غير الموثوقة.