CVE-2021-47947

Projectsend r1295 Stored Cross-Site Scripting via files-edit.php

CVSS 5.1 MEDIUMEPSS 0.2%CWE-79

Vexday Risk Score

33Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS 5.1EPSS 0.2%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

10 mai 2026Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

Projectsend r1295 contains a stored cross-site scripting vulnerability that allows authenticated attackers to inject malicious scripts by submitting crafted input in the 'name' parameter of files-edit.php. Attackers can inject JavaScript payloads through the file name field that execute in the browser when the file is viewed by other users, particularly affecting System Administrator users on the Dashboard page.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N

Produtos afetados

Projectsend · Projectsend

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/50240não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.exploit-db.com/exploits/50240 https://www.projectsend.org/https://www.projectsend.org/download/387/https://www.vulncheck.com/advisories/projectsend-r1295-stored-cross-site-scripting-via-files-edit-php