Vulnerabilidad en una consulta HTTP en Lightmeter ControlCenter (CVE-2026-25156)

HotCRP es un software de revisión de conferencias. Las versiones de HotCRP desde octubre de 2025 hasta enero de 2026 entregaron documentos de todo tipo con Content-Disposition en línea, haciendo que se renderizaran en el navegador del usuario en lugar de descargarse. (El comportamiento previsto era que solo 'text/plain', 'application/pdf', 'image/gif', 'image/jpeg' e 'image/png' se entregaran en línea, aunque añadir 'save=0' a la URL del documento podía solicitar la entrega en línea para cualquier documento.) Esto hizo que los usuarios que hacían clic en un enlace de documento fueran vulnerables a ataques de cross-site scripting. Un documento HTML o SVG subido se ejecutaría en el navegador del visor con acceso a sus credenciales de HotCRP, y Javascript en ese documento podría eventualmente hacer llamadas arbitrarias a la API de HotCRP. Los documentos maliciosos podían subirse a campos de envío con tipo 'carga de archivo' o 'adjunto', o como adjuntos a comentarios. Los campos de carga de PDF no eran vulnerables. Una búsqueda de documentos subidos a hotcrp.com no encontró evidencia de explotación. La vulnerabilidad fue introducida en el commit aa20ef288828b04550950cf67c831af8a525f508 (11 de octubre de 2025), presente en versiones de desarrollo y v3.2, y corregida en el commit 8933e86c9f384b356dc4c6e9e2814dee1074b323 y v3.2.1. Además, c3d88a7e18d52119c65df31c2cc994edd2beccc5 y v3.2.1 eliminan el soporte para 'save=0'.