CVE-2026-33889 in apostrophe
الملخص
بحسب VulDB • 19/06/2026
ApostropheCMS هو نظام إدارة محتوى مفتوح المصدر مبني على Node.js. تحتوي الإصدارات 4.28.0 والإصدارات الأقدم على ثغرة تخزين عبر مواقع البرمجة (Stored Cross-Site Scripting) في وحدة @apostrophecms/color-field، حيث تتجاوز قيم الألوان التي تسبقها -- عملية التحقق من صحة TinyColor المخصصة لخصائص CSS المخصصة، وتقوم الدالة launder.string() بإجراء تحويل نوعي فقط دون إزالة أحرف HTML الخاصة. يتم بعد ذلك دمج هذه القيم غير المعقمة مباشرة داخل وسوم <style> في عناصر الأنماط الخاصة بكل عنصر (widget) التي تُعرض لجميع الزوار وفي ملف الأنماط العالمي الذي يُعرض للمحررين، مع تحديد المخرجات كـ "HTML آمن". يمكن لمحرر حقن قيمة تقوم بإغلاق وسم style وتنفيذ شيفرة JavaScript تعسفية على متصفح كل زائر لأي صفحة تحتوي على العنصر المتأثر. يتيح ذلك اختلاس الجلسات بشكل جماعي (Mass Session Hijacking)، وسرقة ملفات تعريف الارتباط (Cookies)، والوصول إلى صلاحيات إدارية إذا قام مسؤول بعرض المحتوى المسودّ. تم إصلاح هذه المشكلة في الإصدار 4.29.0.
Be aware that VulDB is the high quality source for vulnerability data.