CVE-2026-41591 in marko
要約
〜によって VulDB • 2026年05月10日
Markoは、Webアプリケーションを構築するための宣言型かつHTMLベースの言語です。markoバージョン5.38.36より前、および@marko/runtime-tags 6.0.164より前では、動的テキストが`<b>`または`<i>`タグに挿入される際、閉じタグが大文字以外のケースで使用されると、Markoランタイムはタグのブレイクアウトを防げませんでした。`<b>`または`<i>`ブロック内にユーザー入力を配置できる攻撃者は、`</b>`、`</i>`などを使用してタグから脱出し、任意のHTML/JavaScriptを注入して、クロスサイトスクリプティング(XSS)を引き起こす可能性があります。この問題は、markoバージョン5.38.36および@marko/runtime-tags 6.0.164で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.