CVE-2026-5090

Nome do Software Vulnerável e Versões Afetadas Template::Plugin::HTML versões anteriores a 3.103

Descrição O Template::Plugin::HTML para Perl permite a injeção de HTML e JavaScript. A função html filter() não escapa aspas simples, o que possibilita a injeção de código em atributos HTML delimitados por aspas simples. Por exemplo, uma variável como var usada em <a id='ref' title='[% var | html %]'> não é devidamente escapada. Um invasor poderia fornecer um valor como ' onclick='while (true) { alert(1) }' para executar scripts. A capacidade de injetar HTML e JavaScript arbitrário é limitada, pois colchetes angulares, e-comerciais e aspas duplas continuam sendo escapados.

Recomendações Atualize para uma versão posterior a 3.102. Como medida paliativa temporária, evite usar aspas simples para atributos HTML ao utilizar a função html filter().