CVE-2026-26028

Nome do Software Vulnerável e Versões Afetadas CryptPad versões anteriores a 2026.2.0

Descrição O sanitizador HTML no Diffmarked.js contém uma falha na qual não filtra adequadamente os atributos em tags restritas. Embora o sanitizador valide o atributo src para elementos <iframe>, <video> e <audio>, ele não verifica outros atributos. Isso permite que um invasor injete HTML arbitrário usando o atributo srcdoc, ignorando o sandboxing de bounce pretendido e permitindo a injeção de links ou outros conteúdos interativos em documentos controlados pelo usuário. O problema ocorre porque o <iframe> é classificado como uma tag restrita em vez de proibida, e o mecanismo de aplicação inspeciona apenas o atributo src.

Recomendações Atualizar para a versão 2026.2.0.