PT-2026-54861 · Craft Cms · Craft Cms

Crypto-Cat

·

Publicado

2026-07-01

·

Atualizado

2026-07-06

·

CVE-2026-55793

CVSS v4.0

5.9

Média

VetorAV:N/AC:L/AT:P/PR:L/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Nome do Software Vulnerável e Versões Afetadas Craft CMS versões 5.0.0-RC1 through 5.9.22
Description Um problema de cross-site scripting armazenado existe onde um usuário com permissões de painel de controle de nível de autor pode incorporar um payload de JavaScript malicioso em um título de entrada. A execução ocorre quando um administrador ou um usuário com permissões saveEntries para a mesma seção de Structure realiza uma operação de arrastar outra entrada sob a entrada afetada na visualização de tabela. Isso acontece porque o servidor escapa o título em data-title, que o navegador decodifica e o jQuery lê via .data('title'), concatenando-o posteriormente em uma nova string HTML sem a devida filtragem de atributos. A exploração bem-sucedida requer que o invasor tenha no mínimo a função de Autor e que a vítima execute uma ação específica de arrastar enquanto possua privilégios de sessão elevados.
Recommendations Atualizar para a versão 5.9.23.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55793
GHSA-XRQC-P465-2XVG

Produtos afetados

Craft Cms