CVE-2026-48527

Nome do Software Vulnerável e Versões Afetadas HAX CMS versões anteriores a 26.0.1

Description Um problema de cross-site scripting (XSS) armazenado existe no endpoint '/system/api/saveNode'. Um usuário autenticado com permissões de edição de página pode burlar o sanitizador HTML injetando um atributo de manipulador de evento sem um espaço em branco precedente. Isso ocorre porque a sanitização baseada em regex espera um espaço antes dos atributos de manipulador de evento, permitindo que payloads como href="#"onclick="..." sejam armazenados nos arquivos de página gerados. Quando um usuário interage com o elemento injetado, o JavaScript é executado em seu navegador, potencialmente permitindo o acesso a dados sensíveis como localStorage.jwt e window.appSettings. O parâmetro afetado é node.body.

Recommendations Atualize o @haxtheweb/haxcms-nodejs para a versão 26.0.1. Atualize o haxcms-php para a versão 26.0.2.