CVE-2026-35569

Name of the Vulnerable Software and Affected Versions ApostropheCMS versões anteriores a 4.29.0

Description Um problema de cross-site scripting armazenado existe em campos relacionados a SEO, especificamente no Título de SEO e na Meta Descrição. A entrada controlada pelo usuário é renderizada sem a codificação de saída adequada em contextos HTML, incluindo tags , atributos <meta> e dados estruturados JSON-LD. Isso permite que um invasor injete e execute JavaScript arbitrário no navegador de usuários autenticados. Isso pode ser usado para realizar solicitações de API autenticadas para endpoints como '/api/v1/@apostrophecms/user' e exfiltrar dados sensíveis, incluindo nomes de usuário, endereços de e-mail e funções, para um servidor externo.

Recommendations Atualizar para a versão 4.29.0.