CVE-2026-6990

Descripción de la Vulnerabilidad

CVE-2026-6990 es un problema de seguridad identificado en el software projeto-siga, versión 11.0.3.18. La vulnerabilidad afecta una función desconocida del archivo /sigawf/app/responsavel/novo. Un ataque de Cross Site Scripting (XSS) puede ser iniciado mediante la manipulación del argumento Nome/Descrição, permitiendo a un atacante injeccionar código malicioso en el sitio web. El exploit se puede realizar remota y ya fue made público, aunque el proyecto no ha respondido a la reporte de la vulnerabilidad.

El CVSS score asignado es 3.5 (LOW), lo que indica un riesgo moderado. La vectorización del CVSS es CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N.

Sistemas Afectados

La vulnerabilidad afecta la versión 11.0.3.18 de projeto-siga, un software que no se especifica en el contexto proporcionado. No hay información detallada sobre otros versiones o sistemas operativos implicados.

Impacto y Explotabilidad

El ataque permite a un atacante injectar código malicioso en una página web, lo que podría llevar a la violación de la privacidad del usuario o la robo de sesiones. Sin embargo, el CVSS score indica un impacto limitado (C:N/I:L/A:N). La explotabilidad es remota y requiere manipulación específica del argumento Nome/Descrição.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Mitigación y Parches

El proyecto projeto-siga ha sido informado del problema, pero no se han publicado parches oficiales. Se recomienda actualizar a versiones posteriores de software si es posible. Para mitigar el riesgo, se sugiere implementar validaciones estrictas de entrada y utilizar soluciones de seguridad adicionales como CSP (Content Security Policy).