CVE-2026-4093 in Term Reference Treeinformação

Sumário

de VulDB • 22/05/2026

No módulo Term Reference Tree do Drupal 7, existem dois vetores de XSS armazenado (stored XSS) no pipeline de renderização do widget/formatador.

Vetor A (modelos de exibição de tokens): Quando o módulo Token está habilitado e os modelos de exibição de tokens estão configurados, a saída de tokens controlada pelo atacante (por exemplo, a descrição do termo) é renderizada sem a devida sanitização. Qualquer usuário que possa editar os termos de taxonomia referenciados pode injetar HTML/JS que será executado quando o campo for renderizado.

Vetor B (renderização do rótulo do termo): Os rótulos dos termos de taxonomia não são devidamente sanitizados antes de serem renderizados no widget, permitindo que um usuário com permissão para criar ou editar termos de taxonomia injete scripts no nome do termo que serão executados quando um formulário contendo o widget for visualizado.

O exploit afeta as versões 7.x-1.x até 7.x-1.11, inclusive.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Drupal

Reservar

12/03/2026

Divulgação

22/05/2026

Moderação

aceite

Entrada

VDB-365095

CPE

pronto

EPSS

0.00029

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4093
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4093
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4093/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!