CVE-2026-41149

Nome do Software Vulnerável e Versões Afetadas Mermaid versões anteriores a 10.9.6 Mermaid versões 11.0.0-alpha.1 até 11.14.0

Description O Mermaid é uma ferramenta JavaScript que utiliza texto inspirado em Markdown para criar e modificar diagramas e gráficos. Sob a configuração padrão, a diretiva classDef em diagramas de estado permite a injeção de HTML que escapa do contexto SVG, resultando em injeção de DOM. Embora as tags <script> sejam removidas para evitar cross-site scripting (XSS), o problema ainda permite a injeção de elementos HTML arbitrários no Document Object Model (DOM), que é a interface de programação para documentos HTML e XML.

Recommendations Atualize para a versão 10.9.6. Atualize para a versão 11.15.0. Como alternativa temporária, defina securityLevel como sandbox para renderizar os diagramas em um <iframe> isolado.