PT-2026-55223 · Drupal+1 · Drupal/Canvas

Akhil Babu

+1

·

Publicado

2026-07-01

·

Atualizado

2026-07-10

·

CVE-2026-58588

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas Drupal Canvas versões 0.0.0 a 1.4.2 Drupal Canvas versões 1.5.0 a 1.5.2 Drupal Canvas versões 1.6.0 a 1.6.1 Drupal Canvas versões 1.7.0 a 1.7.1
Description Existe um problema onde o módulo Canvas permite Cross-Site Scripting (XSS) devido à neutralização inadequada de entrada durante a geração de páginas web. O módulo permite o upload de arquivos de imagem via uma API personalizada, mas as regras de validação verificam apenas a extensão do arquivo e ignoram o tipo MIME (Multipurpose Internet Mail Extensions, um padrão que indica a natureza e o formato de um documento). Isso permite que um usuário mal-intencionado faça o upload de arquivos que não sejam imagens. Dependendo da configuração do servidor web, esses arquivos podem ser servidos com seu tipo MIME real, levando ao XSS ou outro comportamento inesperado.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58588
DRUPAL-CONTRIB-2026-066

Produtos afetados

Drupal/Canvas