CVE-2026-27126

Nome do Software Vulnerável e Versões Afetadas Craft versões 4.5.0-RC1 até 4.16.18 Craft versões 5.0.0-RC1 até 5.8.22

Descrição O Craft é um sistema de gerenciamento de conteúdo (SGC) que apresenta um problema de Cross-site Scripting (XSS) armazenado no componente editableTable.twig ao utilizar o tipo de coluna html. A aplicação não sanitiza adequadamente a entrada, permitindo que um atacante execute JavaScript arbitrário quando outro usuário visualiza uma página contendo o campo de tabela malicioso. Para explorar essa vulnerabilidade, o atacante precisa de uma conta de administrador e o allowAdminChanges deve estar habilitado em produção. O componente vulnerável é o editableTable.twig, especificamente ao usar o tipo de coluna html. O parâmetro vulnerável é types[craft-fields-Table][columns][col3][type].

Recomendações Craft versões 4.5.0-RC1 até 4.16.18: atualize para a versão 4.16.19 ou posterior. Craft versões 5.0.0-RC1 até 5.8.22: atualize para a versão 5.8.23 ou posterior.