CVE-2026-44897

Nome do Software Vulnerável e Versões Afetadas mistune versões anteriores a 3.2.1

Descrição Na função HTMLRenderer.heading() em src/mistune/renderers/html.py, o atributo id das tags de cabeçalho é construído concatenando diretamente o valor ao HTML sem sanitização. Quando a API add toc hook() é utilizada com um callback heading id personalizado que retorna o texto bruto do cabeçalho (uma prática comum para criar âncoras de slug legíveis), um invasor pode injetar um caractere de aspas duplas para encerrar o atributo e inserir atributos HTML arbitrários, como manipuladores de eventos. Isso permite a execução de JavaScript malicioso quando um usuário interage com o cabeçalho.

Recomendações Atualize para a versão 3.2.1 ou posterior. Como medida paliativa temporária, certifique-se de que qualquer callback personalizado passado para add toc hook() sanitize ou escape independentemente o valor de heading id antes de retorná-lo.