CVE-2026-41159

Nome do Software Vulnerável e Versões Afetadas Mermaid versões anteriores a 11.15.0 Mermaid versões anteriores a 10.9.6

Descrição A configuração padrão permite a injeção de CSS que se aplica fora do diagrama Mermaid. Isso ocorre por meio das opções de configuração fontFamily, themeCSS e altFontFamily, explorando a maneira como o stylis lida com referências de escopo. Especificamente, o uso de :not(&) escapa o escopo automático, permitindo que os estilos sejam aplicados a todos os elementos da página. Além disso, regras globais como @font-face, @keyframes e @counter-style podem ser injetadas, pois são elevadas ao nível superior. Isso pode levar à desfiguração da página e à exfiltração de atributos do DOM usando seletores CSS :has().

Recomendações Atualize para a versão 11.15.0 ou posterior. Atualize para a versão 10.9.6 ou posterior. Defina o valor de configuração secure para evitar que os diagramas modifiquem fontFamily, themeCSS, altFontFamily e themeVariables. Defina securityLevel como sandbox para prevenir o problema.