CVE-2026-48822

Nome do Software Vulnerável e Versões Afetadas Shaarli versões anteriores a 0.16.2

Descrição Um problema de Cross-Site Scripting (XSS) armazenado existe no processo de conversão de Markdown para HTML usado no campo de Descrição do Marcador. Um usuário autenticado pode injetar um URI javascript: malicioso dentro de um link Markdown do estilo de referência. O problema ocorre na função filterProtocols() dentro de BookmarkMarkdownFormatter.php, que utiliza uma expressão regular para sanitizar links. Esta regex não detecta links do estilo de referência porque eles são resolvidos pelo analisador Markdown após o pré-processamento, permitindo que a função filterProtocols() ignore a inspeção da URL real usada nessas referências.

Recomendações Atualizar para a versão 0.16.2.