PT-2026-20915 · Spip · Spip

Dorian Piette

·

Publicado

2026-01-01

·

Atualizado

2026-02-23

·

CVE-2026-27474

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do SPIP anteriores a 4.4.9
Descrição Versões do SPIP anteriores a 4.4.9 contêm uma vulnerabilidade de Cross-Site Scripting (XSS) na área privada. Uma correção anterior no SPIP 4.4.8 estava incompleta, e a função echappe anti xss() não foi aplicada consistentemente às tags HTML input, form, button e âncora (). Isso permite que um atacante injete scripts maliciosos através desses elementos. A tela de segurança do SPIP não mitiga este problema.
Recomendações Atualize para o SPIP versão 4.4.9 ou superior.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2026-27474

Produtos afetados

Spip