CVE-2026-44896

Nome do Software Vulnerável e Versões Afetadas Mistune (versões afetadas não especificadas)

Descrição A função render figure() em src/mistune/directives/image.py concatena as opções figclass e figwidth diretamente em atributos HTML sem a devida sanitização. Isso permite a injeção de atributos e Cross-Site Scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis, mesmo quando HTMLRenderer(escape=True) está habilitado, pois esses valores específicos ignoram o renderizador inline.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.