CVE-2026-41147

Nome do Software Vulnerável e Versões Afetadas NukeViet CMS versões anteriores a 4.5.08

Description Ocorre Cross-Site Scripting (XSS) Armazenado devido à sanitização insuficiente de entrada no lado do servidor na classe Request. A aplicação depende de filtragem no lado do cliente para sanitizar tags e atributos HTML, que podem ser ignorados através da modificação de requisições HTTP. Isso permite que um visitante anônimo injete payloads maliciosos que são armazenados no servidor e executados no navegador de qualquer usuário que visualize o conteúdo, como administradores ou moderadores que revisam comentários ou mensagens de contato. Os impactos potenciais incluem sequestro de sessão por meio do roubo de cookies, ações não autorizadas realizadas sob a identidade da vítima, desfiguração (defacement), redirecionamento para páginas de phishing e ataques de phishing via notificações de e-mail manipuladas.

Recommendations Atualizar para a versão 4.5.08. Implementar a sanitização de HTML no lado do servidor na classe Request para remover ou codificar tags e atributos perigosos, como <iframe>, srcdoc e manipuladores de eventos como onerror ou onload. Impor uma Política de Segurança de Conteúdo (CSP) para restringir a execução de scripts inline. Configurar cookies com a flag HttpOnly para mitigar o roubo de cookies.