Kn1Ph

**Nome do Software Vulnerável e Versões Afetadas** HAX CMS versões anteriores a 26.0.1 **Description** Um problema de cross-site scripting (XSS) armazenado existe no endpoint '/system/api/saveNode'. Um usuário autenticado com permissões de edição de página pode burlar o sanitizador HTML injetando um atributo de manipulador de evento sem um espaço em branco precedente. Isso ocorre porque a sanitização baseada em regex espera um espaço antes dos atributos de manipulador de evento, permitindo que payloads como `href="#"onclick="..."` sejam armazenados nos arquivos de página gerados. Quando um usuário interage com o elemento injetado, o JavaScript é executado em seu navegador, potencialmente permitindo o acesso a dados sensíveis como `localStorage.jwt` e `window.appSettings`. O parâmetro afetado é `node.body`. **Recommendations** Atualize o @haxtheweb/haxcms-nodejs para a versão 26.0.1. Atualize o haxcms-php para a versão 26.0.2.