CVE-2026-8467

Nome do Software Vulnerável e Versões Afetadas phoenix storybook versões 0.5.0 até 1.0.x

Descrição A execução remota de código não autenticada é possível devido à interpolação de valores de atributos não sanitizados durante a geração de templates HEEx. O manipulador de eventos WebSocket psb-assign na função handle event/3 de Elixir.PhoenixStorybook.Story.PlaygroundPreviewLive aceita nomes e valores de atributos arbitrários de clientes não autenticados. Estes são processados pela função handle set variation assign/3 em Elixir.PhoenixStorybook.Helpers.ExtraAssignsHelpers e armazenados literalmente. Durante a renderização, a função attributes markup/1 em Elixir.PhoenixStorybook.Rendering.ComponentRenderer interpola esses valores em uma string de template HEEx sem escapar aspas duplas ou delimitadores de expressão. Um invasor pode injetar uma aspa de fechamento seguida por um bloco de expressão HEEx, que é então compilado via EEx.compile string/2 e executado via Code.eval quoted with env/3 com importações completas do Kernel e sem sandbox, permitindo a execução de código arbitrário no servidor.

Recomendações Atualize o phoenix storybook para a versão 1.1.0 ou posterior.