CVE-2026-42611

Nome do Software Vulnerável e Versões Afetadas Grav versões anteriores a 2.0.0-beta.2

Descrição Um usuário de baixo privilégio com permissões para criar páginas pode realizar Cross-Site Scripting (XSS) armazenado ao injetar um elemento svg. Isso ocorre porque o filtro de XSS na função detectXss() utiliza uma expressão regular para on events que não detecta manipuladores de eventos não citados. O problema está localizado no arquivo system/src/Grav/Common/Security.php e afeta o endpoint 'admin/pages/'.

Este XSS pode ser escalado para exfiltrar informações sensíveis do sistema do endpoint '/admin/config/info' quando visitado por um Super Administrador. Um invasor pode capturar o admin nonce, que pode ser usado para ignorar proteções CSRF e potencialmente levar à Execução Remota de Código (RCE) e ao comprometimento total do servidor.

Recomendações Atualize para a versão 2.0.0-beta.2 ou posterior. Como medida paliativa temporária, restrinja a capacidade de usuários de baixo privilégio de criar ou editar páginas até que a atualização seja aplicada.