CVE-2026-33311 in DiceBearinformación

Resumen

DiceBear es una biblioteca de avatares para diseñadores y desarrolladores. A partir de la versión 5.0.0 y antes de las versiones 5.4.4, 6.1.4, 7.1.4, 8.0.3 y 9.4.1, los valores de atributos SVG derivados de opciones proporcionadas por el usuario ('backgroundColor', 'fontFamily', 'textColor') no se escapaban en XML antes de la interpolación en la salida SVG. Esto podría permitir cross-site scripting (XSS) cuando las aplicaciones pasan entrada no confiable a createAvatar() y sirven el SVG resultante en línea o con Content-Type: image/svg+xml. A partir de las versiones 5.4.4, 6.1.4, 7.1.4, 8.0.3 y 9.4.1, todos los valores de atributos SVG afectados se escapan correctamente utilizando la codificación de entidades XML. Los usuarios deben actualizar a las versiones parcheadas listadas. Algunos factores mitigantes limitan la vulnerabilidad. Las aplicaciones que validan la entrada contra el esquema JSON de la biblioteca antes de pasarla a createAvatar() no se ven afectadas. La CLI de DiceBear valida la entrada a través de AJV y no era vulnerable. La explotación requiere que una aplicación pase entrada externa no confiable y no validada directamente como valores de opción.

Responsable

GitHub_M

Reservar

2026-03-18

Divulgación

2026-03-24

Voces

VulDB provides additional information and datapoints for this CVE:

IDVulnerabilidadCWEExpConCVE
352772DiceBear createAvatar secuencias de comandos en sitios cruzados79No está definidoArreglo oficialCVE-2026-33311

Descripción

CPE

CWE

CVSS

Hazañas

Historia

Diferencia

Relacionar

Inteligencia de amenazas

API JSON

API XML

API CSV

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!