CVE-2026-48591

Nome do Software Vulnerável e Versões Afetadas pragdave earmark versões 1.4.1 e posteriores

Description A neutralização inadequada de scripts em atributos em uma página web permite cross-site scripting (XSS) armazenado por meio de valores de atributos HTML não escapados. A função make att1/2 em lib/earmark/transform.ex insere valores de atributos literalmente entre aspas duplas. Embora os nós de texto sejam processados por uma função de escape que codifica aspas duplas como ", os valores dos atributos ignoram esse caminho. Consequentemente, um link markdown que contenha aspas duplas na URL ou no título pode fechar o atributo prematuramente, permitindo que o navegador interprete os bytes subsequentes como novos atributos HTML e execute JavaScript arbitrário.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.