CVE-2026-24752

Kiteworks Secure Data Forms Vulnerable to Cross-site Scripting

CVSS 8.2 HIGHEPSS 0.3%CWE-79

Em resumo

O Kiteworks Secure Data Forms possui uma vulnerabilidade de XSS refletida que permite que atacantes enganem usuários para executar código JavaScript malicioso através de links especialmente criados. Isso pode levar ao roubo de dados sensíveis ou ações não autorizadas em nome do usuário.

Detalhe técnico

Uma vulnerabilidade de XSS refletida no Kiteworks Secure Data Forms (anterior à versão 9.3.0) permite que atacantes externos injetem JavaScript arbitrário nos navegadores de usuários via URLs maliciosas. O vetor de ataque é engenharia social (phishing/manipulação de links), exigindo interação do usuário para acessar o link; a exploração bem-sucedida permite execução de scripts arbitrários no contexto da sessão da vítima com acesso a dados da sessão e do formulário.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Kiteworks is a private data network (PDN). Prior to version 9.3.0, a reflected XSS vulnerability in Kiteworks Secure Data Forms could allow an external attacker to trick a user into executing arbitrary JavaScript code. Upgrade Kiteworks to version 9.3.0 or later to receive a patch.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N

Produtos afetados

kiteworks · Secure Data Forms

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/kiteworks/security-advisories/security/advisories/GHSA-6798-vf3h-wcwr