CVE-2026-44898

Nome do Software Vulnerável e Versões Afetadas Mistune versões anteriores a 3.2.1

Description A função render toc ul() constrói uma árvore de sumário (table-of-contents) a partir de uma lista de tuplas. O valor id, usado para o atributo href, e o valor text, usado como rótulo do link, são inseridos em tags <a> usando uma string de formatação simples do Python sem a aplicação de escape HTML. Quando os IDs dos cabeçalhos são derivados de textos fornecidos pelo usuário, um invasor pode criar um cabeçalho que rompe o contexto do atributo href para injetar tags HTML arbitrárias, como blocos <script>, diretamente no sumário renderizado. Isso ocorre especificamente na função render toc ul() localizada em src/mistune/toc.py.

Recommendations Atualize para a versão 3.2.1. Como medida paliativa temporária, restrinja o uso de callbacks heading id personalizados que retornem texto bruto fornecido pelo usuário como o ID.