CVE-2026-42842

Nome do Software Vulnerável e Versões Afetadas Grav CMS Form plugin versões anteriores a 9.1.0

Descrição Um problema de Cross-Site Scripting (XSS) Armazenado existe no template do campo de seleção do plugin Grav CMS Form. Valores de tags de taxonomia e categorias são renderizados usando o filtro Twig |raw no painel de administração, ignorando a proteção de autoescape global. Isso permite que um usuário com permissões de editor injete JavaScript arbitrário em campos de taxonomia. Como as opções de taxonomia são coletadas de um pool global compartilhado, o script injetado é executado na sessão do navegador de qualquer administrador sempre que eles visualizarem ou editarem qualquer página no painel administrativo.

Detalhes técnicos incluem a evasão da função Security::detectXss(), onde a expressão regular on events falha ao identificar manipuladores de eventos que não possuem aspas ou espaços finais antes do colchete de fechamento. A exploração envolve o uso de payloads que fecham os contextos <option> e <select> para executar scripts, permitindo potencialmente o roubo de tokens nonce de administrador e a execução de ações privilegiadas via requisições AJAX.

Recomendações Atualize o plugin Form para a versão 9.1.0 ou posterior. Como medida paliativa temporária, restrinja a permissão de usuários de nível de editor de modificar valores de tags e categorias de taxonomia.