CVE-2026-25133

Name of the Vulnerable Software and Affected Versions October versões anteriores a 3.7.14 October versões anteriores a 4.1.10

Description Um problema de cross-site scripting (XSS) armazenado existe na lógica de sanitização de SVG. O padrão regex usado para remover atributos de manipuladores de eventos, como onclick ou onload, pode ser burlado usando um payload manipulado que explora a forma como o padrão corresponde aos limites dos atributos. Isso permite que arquivos SVG maliciosos com JavaScript incorporado sejam carregados através do Media Manager. A exploração requer acesso autenticado ao backend com permissões media.library.create e ocorre quando o SVG é visualizado ou incorporado em uma página. Isso pode levar à escalada de privilégios se um superusuário visualizar o arquivo.

Recommendations Atualizar para a versão 3.7.14. Atualizar para a versão 4.1.10. Desativar uploads de SVG adicionando svg às extensões bloqueadas na configuração de mídia. Definir media.clean vectors como true na configuração.