CVE-2026-25491

Nome do Software Vulnerável e Versões Afetadas Versões do Craft 5.0.0-RC1 até 5.8.21

Descrição O Craft está suscetível a um problema de cross-site scripting (XSS) armazenado devido à sanitização insuficiente dos nomes dos Tipos de Entrada. Especificamente, o aplicativo não sanitiza corretamente o nome ao exibí-lo na lista de Tipos de Entrada. Um atacante com acesso de administrador e allowAdminChanges habilitado pode injetar código malicioso, como um payload JavaScript, no campo de nome do Tipo de Entrada. Este código injetado será então executado quando outros administradores visualizarem a lista de Tipos de Entrada no endpoint /admin/settings/entry-types. A vulnerabilidade é acionada ao fornecer uma entrada manipulada como <img src=x onerror="alert('XSS-EntryTypes')" hidden> como o nome do Tipo de Entrada.

Recomendações As versões do Craft 5.0.0-RC1 até 5.8.21 devem ser atualizadas para a versão 5.8.22 ou posterior.