CVE-2026-24906

Name of the Vulnerable Software and Affected Versions October versões anteriores a 3.7.14 October versões anteriores a 4.1.10

Description Um problema de Cross-Site Scripting (XSS) armazenado existe nas Configurações do Editor de Backend. Os campos Markup Classes, utilizados para estilos de parágrafo, estilos inline e estilos de tabela, não sanitizam a entrada para caracteres válidos de nome de classe CSS. Isso permite que valores maliciosos sejam renderizados sem sanitização nos menus suspensos do editor Froala, levando à execução de JavaScript quando um usuário abre um RichEditor. Isso requer acesso autenticado ao backend com permissões de configurações do editor e pode resultar em escalonamento de privilégios se um superusuário abrir um RichEditor durante a edição rotineira de conteúdo, como a edição de uma postagem de blog.

Recommendations Atualizar para a versão 3.7.14 ou superior. Atualizar para a versão 4.1.10 ou superior. Restringir as permissões de configurações do editor apenas a administradores totalmente confiáveis.