PT-2026-53687 · Leandrocp · Mdex

Leandro Pereira

+1

·

Publicado

2026-06-29

·

Atualizado

2026-06-29

·

CVE-2026-54889

CVSS v4.0

5.1

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N
Nome do Software Vulnerável e Versões Afetadas leandrocp mdex versões 0.8.3 até 0.13.1
Description A neutralização inadequada de entrada durante a geração de páginas web permite a execução de scripts entre sites (XSS) por meio de esquemas de URL não sanitizados na saída do Quill Delta. A função to delta/2 converte Markdown em um Quill Delta, e a função default convert node/3 copia URLs de nós de link, wikilink ou imagem diretamente para os atributos link ou image do Delta, sem normalização ou aplicação de uma lista de permissões de esquemas. Um invasor que forneça texto Markdown pode incluir uma URL javascript: que é transferida literalmente para o atributo Delta. Quando um renderizador subsequente converte este Delta em HTML, o atributo torna-se um <a href> ou <img src>, executando o script no navegador do usuário. Links e wikilinks são os principais vetores, pois são executados ao clicar, enquanto imagens têm menor impacto em navegadores modernos.
Recommendations Atualize o leandrocp mdex para a versão 0.13.2 ou posterior. Como solução temporária, sanitize o Quill Delta produzido por to delta/2 antes da renderização, removendo ou limpando qualquer valor de link ou image cujo esquema de URL não esteja em uma lista de permissões segura (ex: http, https, mailto, tel).

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54889
GHSA-4383-7XFP-GPPH

Produtos afetados

Mdex