CVE-2026-46492

Nome do Software Vulnerável e Versões Afetadas md-fileserver versões anteriores a 1.10.3

Description Um problema de cross-site scripting (XSS) existe na lógica de renderização de Markdown. Quando o conteúdo Markdown fornecido pelo usuário é renderizado, o HTML bruto incorporado, como tags <script> ou manipuladores de eventos (ex: <img onerror=...>), é processado e injetado na página resultante sem sanitização. Isso permite a execução de JavaScript arbitrário no contexto do domínio afetado. O problema é causado pela configuração markdownIt em config.js estar definida para permitir HTML bruto, a falta de sanitização no processo de renderização em lib/markd.js e a injeção não sanitizada da variável markdown no template lib/pages/template.html.

Recommendations Atualizar para a versão 1.10.3.