CVE-2026-42197 in relateinformación

Resumen

por VulDB • 2026-05-28

RELATE es un paquete de material didáctico basado en la web. Las versiones anteriores al commit 555f0efb1c5bd7531c07cd73724d7e566a81f620 presentan una vulnerabilidad de cross-site scripting (XSS) almacenado que permite a cualquier estudiante inscrito ejecutar JavaScript arbitrario en la sesión del navegador de un administrador, lo que potencialmente podría derivar en la toma de control total de la cuenta de administrador. El método `get_user()` en `ParticipationAdmin` procesa la entrada controlada por el usuario utilizando `mark_safe` combinado con el formato de cadenas de Python (% string formatting). Esto elude por completo el escape automático de HTML de Django. El valor devuelto por `get_full_name` se deriva directamente de los campos `first_name` y `last_name` del modelo User. Estos campos son editables libremente por cualquier usuario autenticado a través de la página de perfil (`/profile/`) sin aplicar ninguna sanitización. Cuando un administrador visualiza la lista de Participación en el panel de administración de Django, el valor no sanitizado se procesa directamente en la respuesta HTML, lo que provoca la ejecución del script inyectado en el navegador del administrador. El commit 555f0efb1c5bd7531c07cd73724d7e566a81f620 corrige el problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-25

Divulgación

2026-05-27

Moderación

aceptado

Artículo

VDB-366505

CPE

listo

EPSS

0.00031

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42197
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42197
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42197/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!