Multiple cross-site scripting (XSS) vulnerabilities in Xythos Enterprise Document Manager (XEDM) before 5.0.25.8, and 6.x before 6.0.46.1, allow remote authenticated users to inject arbitrary web script or HTML via (1) a saved Workflow name; (2) a Workflow name, related to deletion of a Workflow template; (3) the Content-Type HTTP header; or (4) the name of an uploaded file. NOTE: items 3 and 4 also affect the same version numbers of Xythos Digital Locker (XDL). Some or all vectors might also affect Xythos WebFile Server.

Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Xythos Enterprise Document Manager (XEDM) anterior a 5.0.25.8, y 6.x anterior a 6.0.46.1,permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML de su elección mediante (1) un nombre de Workflow guardado; (2) un nombre de Workflow, relacionado con el borrado de una plantilla de Workflow; (3) la cabecera HTTP Content-Type; o (4) el nombre de un fichero subido. NOTA: los puntos 3 y 4 también afectan a los mismos números de versión de Xythos Digital Locker (XDL). Algunos o todos los vectores también afectan a Xythos WebFile Server.