CVE-2026-4093

Nome do Software Vulnerável e Versões Afetadas Drupal 7 Term Reference Tree versões 7.x-1.x até 7.x-1.11

Description Existem dois vetores de Cross-Site Scripting (XSS) armazenado no pipeline de renderização do widget/formatter. O primeiro vetor ocorre quando o módulo Token está habilitado e os modelos de exibição de token estão configurados, fazendo com que a saída do token controlada pelo invasor, como descrições de termos, seja renderizada sem a sanitização adequada. Isso permite que usuários capazes de editar termos de taxonomia referenciados injetem HTML ou JavaScript. O segundo vetor envolve rótulos de termos de taxonomia que não são devidamente sanitizados antes de serem renderizados no widget, permitindo que usuários com permissão para criar ou editar termos de taxonomia injetem scripts no nome do termo que são executados quando um formulário contendo o widget é visualizado.

Recommendations Atualize o Drupal 7 Term Reference Tree para uma versão posterior à 7.x-1.11.