CVE: CVE-2025-27145

Descrizione: copyparty, un server file-server portatile, ha una vulnerabilità DOM-basata cross-site scripting in versioni precedenti a 1.16.15. La vulnerabilità è considerata di basso rischio. Tramite la fornitura a qualcuno di un file chiamato malevolamente, e poi inducendolo a trascinare il file nella pagina Web di copyparty, un attaccante potrebbe eseguire JavaScript arbitrario con gli stessi privilegi dell’utente. Ad esempio, questo potrebbe dare accesso inatteso ai file di proprietà di quell’utente. Il bug si attiva durante l’azione di trascinamento; non è necessario avviare effettivamente il caricamento. Il file deve essere vuoto (zero byte). Nota che, come server web generale, è intenzionalmente possibile caricare file HTML con JavaScript arbitrario all’interno di `