PT-2026-54859 · Craft Cms · Craft Cms

Crypto-Cat

·

Publicado

2026-07-01

·

Atualizado

2026-07-06

·

CVE-2026-55790

CVSS v4.0

7.4

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Craft CMS versões 5.0.0-RC1 through 5.9.22 Craft CMS versões 4.0.0-RC1 through 4.17.15
Description Um invasor com uma conta do GitHub pode injetar um payload de JavaScript no título de um problema em craftcms/cms. O payload é executado na sessão do painel de controle de um administrador do Craft quando este utiliza a tela Give feedback do widget CraftSupport e digita um termo de pesquisa que retorne o problema comprometido. Este processo não requer conta no painel de controle ou privilégios elevados por parte do invasor.
Recommendations Atualizar para a versão 5.9.23. Atualizar para a versão 4.17.16.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55790
GHSA-24X4-J6X9-RFW5

Produtos afetados

Craft Cms