CVE-2026-33889 in apostropheinformação

Sumário

de VulDB • 02/06/2026

ApostropheCMS é um sistema de gerenciamento de conteúdo (CMS) open-source baseado em Node.js. As versões 4.28.0 e anteriores contêm uma vulnerabilidade de cross-site scripting armazenado (stored XSS) no módulo @apostrophecms/color-field, onde valores de cor prefixados com -- contornam a validação do TinyColor destinada às propriedades personalizadas CSS, e a chamada launder.string() realiza apenas coerção de tipo sem remover metacaracteres HTML. Esses valores não sanitizados são então concatenados diretamente em tags <style>, tanto nos elementos de estilo por widget renderizados para todos os visitantes quanto na folha de estilos global renderizada para editores, com a saída marcada como HTML seguro. Um editor pode injetar um valor que fecha a tag style e executa JavaScript arbitrário no navegador de cada visitante de qualquer página contendo o widget afetado. Isso permite sequestro em massa de sessões (session hijacking), roubo de cookies e elevação de privilégios para controle administrativo caso um administrador visualize conteúdo rascunho. Este problema foi corrigido na versão 4.29.0.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

24/03/2026

Divulgação

15/04/2026

Moderação

aceite

Entrada

VDB-357841

CPE

pronto

EPSS

0.00210

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!