PT-2026-33239 · Drupal+2 · Orejime+1
Fabien Gutknecht
+3
·
Publicado
2026-04-08
·
Atualizado
2026-05-19
·
CVE-2026-6095
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Drupal Orejime versões 0.0.0 até 2.0.15
Descrição
A neutralização inadequada de entradas durante a geração de páginas web permite Cross-Site Scripting (XSS). O elemento
IframeConsent grava atributos HTML sem escapar seus valores. Um invasor com uma função que permita criar ou modificar conteúdo em um campo usando um formato de texto que habilite tags HTML iframe-consent com atributos alt (especificamente a opção Enable JS Iframe consent) pode inserir JavaScript arbitrário ao escrever uma tag <iframe-consent>.Recomendações
Atualize para a versão 2.0.16.
Restrinja o uso de formatos de texto que permitam tags HTML
iframe-consent apenas a usuários autorizados.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Orejime
Drupal/Orejime