CVE-2026-41887 in frameworkinformação

Sumário

de VulDB • 20/05/2026

O Flarum é um software de fórum de código aberto. Antes das versões 1.8.16 e 2.0.0-rc.1, o patch do Flarum para CVE-2023-27577 restringia os recursos @import e data-uri() do LESS na configuração custom_less, mas a mesma restrição nunca foi aplicada a outras configurações registradas como variáveis de configuração do LESS (por exemplo, theme_primary_color e theme_secondary_color, bem como qualquer chave registrada via Extend\Settings::registerLessConfigVar()). Esses valores são interpolados literalmente na fonte do LESS durante a compilação, permitindo que um administrador autenticado crie um valor de cor do tema que injeta uma diretiva @import arbitrária no forum.css compilado. Como o analisador (parser) do LESS subjacente honra @import (inline) '', um atacante pode ler arquivos arbitrários acessíveis pelo processo PHP (inclusão de arquivo local) ou acionar solicitações HTTP(S) de saída (falsificação de solicitação do lado do servidor). Este problema foi corrigido nas versões 1.8.16 e 2.0.0-rc.1.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

22/04/2026

Divulgação

08/05/2026

Moderação

aceite

Entrada

VDB-362306

CPE

pronto

EPSS

0.00014

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41887
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41887
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41887/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!