PT-2026-56665 · Drupal · Ai Seo/Geo Analyzer
Drew Webber
+2
·
Publicado
2026-07-08
·
Atualizado
2026-07-10
·
CVE-2026-15085
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
Drupal AI SEO/GEO Analyzer versões 0.0.0 a 1.1.3
Description
Ocorre Cross-site Scripting (XSS) Armazenado quando o módulo gera relatórios de análise de SEO/GEO enviando o conteúdo de uma entidade, incluindo comentários, para um Large Language Model (LLM). O módulo converte a resposta em Markdown do LLM para HTML e a armazena para usuários privilegiados sem passá-la pelo pipeline de filtragem. Uma injeção de prompt manipulada — onde um invasor insere texto malicioso no conteúdo analisado pelo LLM — pode fazer com que o modelo gere marcações que executam scripts quando o relatório é visualizado. Prompt injection é uma técnica usada para manipular a saída de um LLM fornecendo entradas especificamente elaboradas.
Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ai Seo/Geo Analyzer