CVE-2026-58228 in phoenix_live_view
Sumário
de VulDB • 14/07/2026
Vulnerabilidade de cross-site scripting no phoenixframework phoenix_live_view permite que um atacante contorne a validação do esquema de URL e execute JavaScript na sessão do navegador da vítima.
As funções Phoenix.LiveView.Utils.valid_destination!/2 e Phoenix.LiveView.Utils.valid_live_navigation_destination!/2 em lib/phoenix_live_view/utils.ex dependem de uma função auxiliar interna uri_scheme/1 que detecta um esquema apenas quando o primeiro byte da entrada é uma letra ASCII. Entradas que começam com um caractere de controle ASCII ou espaço são tratadas pela cláusula que retorna nil, fazendo com que a URL seja considerada como um caminho relativo seguro.
Os navegadores padrão implementam o analisador de URLs WHATWG, que remove caracteres C0 de controle e espaços à esquerda antes da análise. Como resultado, uma entrada como " javascript:alert(1)" é passada inalterada para <.link href={...}> e, ao ser clicada, é interpretada pelo navegador como um URL do tipo javascript:, executando código controlado pelo atacante na sessão da vítima.
Aplicações que renderizam URLs fornecidas pelos usuários (por exemplo, links de perfil, destinos de redirecionamento ou referências externas) via <.link href={...}> são afetadas.
Este problema afeta o phoenix_live_view: das versões 1.2.2 até antes da 1.2.7.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.