CVE-2026-33889 in apostropheالمعلومات

الملخص

بحسب VulDB • 19/06/2026

ApostropheCMS هو نظام إدارة محتوى مفتوح المصدر مبني على Node.js. تحتوي الإصدارات 4.28.0 والإصدارات الأقدم على ثغرة تخزين عبر مواقع البرمجة (Stored Cross-Site Scripting) في وحدة @apostrophecms/color-field، حيث تتجاوز قيم الألوان التي تسبقها -- عملية التحقق من صحة TinyColor المخصصة لخصائص CSS المخصصة، وتقوم الدالة launder.string() بإجراء تحويل نوعي فقط دون إزالة أحرف HTML الخاصة. يتم بعد ذلك دمج هذه القيم غير المعقمة مباشرة داخل وسوم <style> في عناصر الأنماط الخاصة بكل عنصر (widget) التي تُعرض لجميع الزوار وفي ملف الأنماط العالمي الذي يُعرض للمحررين، مع تحديد المخرجات كـ "HTML آمن". يمكن لمحرر حقن قيمة تقوم بإغلاق وسم style وتنفيذ شيفرة JavaScript تعسفية على متصفح كل زائر لأي صفحة تحتوي على العنصر المتأثر. يتيح ذلك اختلاس الجلسات بشكل جماعي (Mass Session Hijacking)، وسرقة ملفات تعريف الارتباط (Cookies)، والوصول إلى صلاحيات إدارية إذا قام مسؤول بعرض المحتوى المسودّ. تم إصلاح هذه المشكلة في الإصدار 4.29.0.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

24/03/2026

إفشاء

15/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357841

EPSS

0.00210

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!