CVE-2026-45011

Nome do Software Vulnerável e Versões Afetadas ApostropheCMS versão 4.29.0

Description Um problema de cross-site scripting (XSS) armazenado existe na funcionalidade do widget de imagem. Um usuário com a função de Editor ou Colaborador pode configurar um link de widget de imagem usando um payload de URL javascript:. Como os editores podem publicar páginas, o widget malicioso pode ser tornado público. Quando um usuário, como um administrador ou um visitante público, clica no link da imagem afetada, o JavaScript arbitrário é executado em seu navegador. Isso pode levar a ações não autorizadas no contexto de um administrador autenticado, acesso a informações sensíveis do CMS, modificação de conteúdo de páginas ou ataques de phishing.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Valide e sanitize todas as URLs fornecidas pelo usuário em campos de link de widgets, rejeitando esquemas perigosos como javascript: e data:, permitindo apenas protocolos seguros como http:, https:, mailto: e URLs relativas. Normalize e valide as URLs no lado do servidor antes do armazenamento e codifique as URLs renderizadas de forma segura nos templates. Aplique uma Política de Segurança de Conteúdo (CSP) rigorosa para reduzir o impacto de cross-site scripting.