CVE-2026-33889 in apostrophe
要約
〜によって VulDB • 2026年06月16日
ApostropheCMSはオープンソースのNode.jsコンテンツ管理システムです。バージョン4.28.0およびそれ以前には、@apostrophecms/color-fieldモジュールに格納型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性では、CSSカスタムプロパティを対象としたTinyColorの検証を回避するために`--`でプレフィックス付けされた色値が許可され、`launder.string()`呼び出しはHTMLメタ文字を除去することなく型強制のみを実行します。これらの未サニタイズ値は、すべての訪問者に対してレンダリングされるウィジェットごとのスタイル要素と、エディタに対してレンダリングされるグローバルスタイルシートの両方で、安全なHTMLとしてマークされた状態で直接`<style>`タグに連結されます。エディタは`<style>`タグを閉じる値を注入し、影響を受けるウィジェットを含むページにアクセスするすべての訪問者のブラウザで任意のJavaScriptを実行できます。これにより、大規模なセッションハイジャック、クッキーの盗難、および管理者が下書きコンテンツを閲覧した場合に管理者権限への権限昇格が可能になります。この問題はバージョン4.29.0で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.