CVE-2026-41591

Nome do Software Vulnerável e Versões Afetadas marko versões anteriores a 5.38.36 @marko/runtime-tags versões anteriores a 6.0.164

Description Marko é uma linguagem declarativa baseada em HTML para a construção de aplicações web. Existe uma falha onde o runtime não consegue evitar a quebra de tag quando texto dinâmico é interpolado em uma tag <script> ou <style> e a tag de fechamento utiliza letras maiúsculas. Como o analisador do navegador trata os nomes das tags HTML como insensíveis a maiúsculas e minúsculas, um invasor pode usar tags com caixa mista, como </SCRIPT> ou </sTyLe>, para burlar as expressões regulares sensíveis a maiúsculas e minúsculas utilizadas pelo framework. Isso permite que o invasor encerre o contexto de script ou estilo e injete HTML ou JavaScript arbitrário, resultando em cross-site scripting. Este problema afeta especificamente templates que interpolam explicitamente dados não confiáveis dentro desses blocos.

Recommendations Atualize o marko para a versão 5.38.36. Atualize o @marko/runtime-tags para a versão 6.0.164. Como medida paliativa temporária, realize a sanitização prévia de dados não confiáveis, normalizando </script e </style (incluindo variantes de caixa mista) antes da interpolação, ou evite a interpolação direta de valores não confiáveis dentro de tags <script> ou <style>.