PT-2026-55223 · Drupal+1 · Drupal/Canvas
Akhil Babu
+1
·
Publicado
2026-07-01
·
Atualizado
2026-07-10
·
CVE-2026-58588
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
Drupal Canvas versões 0.0.0 a 1.4.2
Drupal Canvas versões 1.5.0 a 1.5.2
Drupal Canvas versões 1.6.0 a 1.6.1
Drupal Canvas versões 1.7.0 a 1.7.1
Description
Existe um problema onde o módulo Canvas permite Cross-Site Scripting (XSS) devido à neutralização inadequada de entrada durante a geração de páginas web. O módulo permite o upload de arquivos de imagem via uma API personalizada, mas as regras de validação verificam apenas a extensão do arquivo e ignoram o tipo MIME (Multipurpose Internet Mail Extensions, um padrão que indica a natureza e o formato de um documento). Isso permite que um usuário mal-intencionado faça o upload de arquivos que não sejam imagens. Dependendo da configuração do servidor web, esses arquivos podem ser servidos com seu tipo MIME real, levando ao XSS ou outro comportamento inesperado.
Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Drupal/Canvas