CVE-2026-28222

Nome do Software Vulnerável e Versões Afetadas Versões do Wagtail anteriores a 6.3.8 Versões do Wagtail anteriores a 7.0.6 Versões do Wagtail anteriores a 7.2.3 Versões do Wagtail anteriores a 7.3.1

Descrição O Wagtail, um sistema de gerenciamento de conteúdo de código aberto baseado em Django, contém uma vulnerabilidade de cross-site scripting (XSS) armazenado que afeta a renderização de blocos TableBlock dentro de um StreamField. Um usuário com a capacidade de criar ou editar páginas contendo blocos StreamField do tipo TableBlock pode definir atributos class especialmente elaborados no bloco. Isso permite a execução de código JavaScript arbitrário quando a página é visualizada. Se visualizada por um usuário com privilégios elevados, isso poderia potencialmente levar à realização de ações com essas credenciais. A vulnerabilidade não é explorável por visitantes comuns do site sem acesso à interface de administração do Wagtail e afeta apenas sites que utilizam TableBlock.

Recomendações Versões do Wagtail anteriores a 6.3.8 devem ser atualizadas para a versão 6.3.8 ou posterior. Versões do Wagtail anteriores a 7.0.6 devem ser atualizadas para a versão 7.0.6 ou posterior. Versões do Wagtail anteriores a 7.2.3 devem ser atualizadas para a versão 7.2.3 ou posterior. Versões do Wagtail anteriores a 7.3.1 devem ser atualizadas para a versão 7.3.1 ou posterior. Como uma solução alternativa temporária, proprietários do site que não possam atualizar podem remediar o problema definindo um atributo template em todas as definições de TableBlock, referenciando um template que não renderiza atributos class.