CVE-2026-44581

Nome do Software Vulnerável e Versões Afetadas App Router applications (versões afetadas não especificadas)

Descrição O cross-site scripting (XSS) armazenado é possível em aplicações que dependem de nonces de Content Security Policy (CSP) quando implantadas atrás de caches compartilhados. Valores de nonce malformados derivados de cabeçalhos de requisição podem ser refletidos no HTML renderizado de forma insegura, permitindo que um invasor envenene as respostas em cache e execute scripts para visitantes posteriores. Nonces de CSP são tokens de segurança usados para permitir que apenas scripts inline específicos sejam executados, prevenindo a injeção de scripts não autorizados.

Recomendações Atualize o software para uma versão onde valores de nonce malformados sejam rejeitados ou ignorados e uma sanitização mais rigorosa seja aplicada. Remova os cabeçalhos de requisição Content-Security-Policy de tráfego não confiável como uma medida paliativa temporária.