CVE-2026-33889 in apostrophe
요약
\~에 의해 VulDB • 2026. 06. 16.
ApostropheCMS는 오픈 소스 Node.js 기반 콘텐츠 관리 시스템입니다. 4.28.0 및 이전 버전에는 @apostrophecms/color-field 모듈에서 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 이 취약점은 CSS 사용자 정의 속성에 대한 TinyColor 검증 우회를 위해 --로 접두사가 붙은 색상 값이 launder.string() 호출 시 HTML 메타문자 제거 없이 단순 형식 변환만 수행되는 문제에서 비롯됩니다. 이러한 비정제 값은 모든 방문자에게 렌더링되는 위젯별 스타일 요소와 편집자에게 렌더링되는 전역 스타일시트 내 <style> 태그에 직접 연결되며, 출력물은 안전한 HTML로 표시됩니다. 편집자가 스타일 태그를 종료하고 해당 위젯이 포함된 모든 페이지의 방문자 브라우저에서 임의 JavaScript를 실행하는 값을 주입할 수 있습니다. 이를 통해 대량 세션 하이재킹, 쿠키 탈취, 그리고 관리자가 초안 콘텐츠를 볼 경우 관리 권한 승격이 가능해집니다. 이 문제는 버전 4.29.0에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.