CVE-2026-42612

Nome do Software Vulnerável e Versões Afetadas Grav versões anteriores a 2.0.0-beta.2

Descrição Um problema de Cross-Site Scripting (XSS) armazenado permite que contas de nível de publicador executem JavaScript arbitrário. O problema é causado por um bypass de blacklist na função detectXss(), que não consegue identificar corretamente atributos de eventos HTML (como eventos on*) quando estes são construídos sem aspas. Isso permite que um invasor ignore o filtro e execute scripts maliciosos no navegador de qualquer usuário, incluindo administradores, que visualize o conteúdo comprometido, podendo levar ao sequestro de sessão ou ações não autorizadas.

Recomendações Atualize para a versão 2.0.0-beta.2. Como medida paliativa temporária, restrinja as permissões de contas de nível de publicador para minimizar o risco de injeção de conteúdo malicioso.