CVE-2026-42841

Nome do Software Vulnerável e Versões Afetadas Grav versões anteriores a 2.0.0-beta.2

Descrição Um usuário autenticado com permissões de edição de página pode realizar Cross-Site Scripting (XSS) armazenado ao injetar um atributo de manipulador de eventos JavaScript executável no HTML de imagens renderizadas. Isso ocorre porque os parâmetros de consulta de imagem do Markdown são convertidos em ações de mídia chamáveis, permitindo o acesso ao método de mídia público attribute(). Um invasor pode usar isso para definir nomes e valores de atributos HTML arbitrários em elementos de imagem gerados. Por exemplo, o uso de um parâmetro de consulta como attribute=onload,alert(document.domain) resulta em uma tag <img> com um manipulador onload executável. Em ambientes multiusuário, um editor com menos privilégios pode visar administradores ou revisores que visualizem o conteúdo afetado.

Recomendações Atualize o Grav para a versão 2.0.0-beta.2 ou posterior.