CVE-2026-33889 in apostropheinformation

Résumé

par VulDB • 16/06/2026

ApostropheCMS est un système de gestion de contenu (CMS) open-source basé sur Node.js. Les versions 4.28.0 et antérieures présentent une vulnérabilité de type cross-site scripting (XSS) stocké (stored XSS) dans le module @apostrophecms/color-field. Dans ce module, les valeurs de couleur préfixées par -- contournent la validation de TinyColor, conçue pour les propriétés personnalisées CSS, et l'appel à launder.string() effectue uniquement une coercition de type sans supprimer les métacaractères HTML. Ces valeurs non assainies sont ensuite concaténées directement dans des balises <style>, tant dans les éléments de style par widget rendus pour tous les visiteurs que dans la feuille de style globale rendue pour les éditeurs, avec la sortie marquée comme du HTML sûr. Un éditeur peut injecter une valeur qui ferme la balise <style> et exécute du code JavaScript arbitraire dans le navigateur de chaque visiteur sur n'importe quelle page contenant le widget concerné. Cela permet le détournement de session à grande échelle, le vol de cookies et l'élévation de privilèges vers un contrôle administratif si un administrateur consulte du contenu en brouillon. Ce problème a été corrigé dans la version 4.29.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

24/03/2026

Divulgation

15/04/2026

Modérer

accepté

Entrée

VDB-357841

CPE

prêt

EPSS

0.00210

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!