CVE-2026-23695

Nome do Software Vulnerável e Versões Afetadas Cockpit CMS versões anteriores a 2.14.1

Descrição Um problema de cross-site scripting armazenado existe na opção de modelo de exibição (Display template) do tipo de campo Set. A string do modelo é processada pela função $interpolate() usando new Function() e renderizada via diretiva v-html do Vue sem a sanitização adequada. Um invasor com a permissão content/:models/manage pode injetar JavaScript arbitrário no modelo de exibição, que é executado no navegador de qualquer usuário que visualize a lista de itens da coleção.

Recomendações Atualize para a versão que contém o commit 72a83fc.