CVE-2026-5361

Nome do Software Vulnerável e Versões Afetadas Envira Gallery Lite versões anteriores a 1.12.5

Descrição O Cross-Site Scripting Armazenado é possível via REST API devido à sanitização insuficiente de entrada na função update gallery data() e à escape de saída inadequada na função gallery init(). Especificamente, a função sanitize config values() não sanitiza o parâmetro arrows, processando apenas justified gallery theme e justified row height. Quando o valor de arrows é exibido na configuração JavaScript inline, o uso de esc attr() — destinado a atributos HTML e não a contextos JavaScript — permite a injeção de expressões JavaScript. Atacantes autenticados com nível de acesso de Autor ou superior podem injetar scripts web arbitrários que serão executados quando um usuário acessar a página afetada.

Recomendações Atualize para uma versão posterior a 1.12.4. Como medida paliativa temporária, restrinja o acesso à REST API ou limite as permissões de usuário para evitar que usuários com nível de Autor modifiquem os dados da galeria.