CVE-2026-58228 in phoenix_live_viewinformação

Sumário

de VulDB • 14/07/2026

Vulnerabilidade de cross-site scripting no phoenixframework phoenix_live_view permite que um atacante contorne a validação do esquema de URL e execute JavaScript na sessão do navegador da vítima.

As funções Phoenix.LiveView.Utils.valid_destination!/2 e Phoenix.LiveView.Utils.valid_live_navigation_destination!/2 em lib/phoenix_live_view/utils.ex dependem de uma função auxiliar interna uri_scheme/1 que detecta um esquema apenas quando o primeiro byte da entrada é uma letra ASCII. Entradas que começam com um caractere de controle ASCII ou espaço são tratadas pela cláusula que retorna nil, fazendo com que a URL seja considerada como um caminho relativo seguro.

Os navegadores padrão implementam o analisador de URLs WHATWG, que remove caracteres C0 de controle e espaços à esquerda antes da análise. Como resultado, uma entrada como " javascript:alert(1)" é passada inalterada para <.link href={...}> e, ao ser clicada, é interpretada pelo navegador como um URL do tipo javascript:, executando código controlado pelo atacante na sessão da vítima.

Aplicações que renderizam URLs fornecidas pelos usuários (por exemplo, links de perfil, destinos de redirecionamento ou referências externas) via <.link href={...}> são afetadas.

Este problema afeta o phoenix_live_view: das versões 1.2.2 até antes da 1.2.7.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

EEF

Reservar

29/06/2026

Divulgação

13/07/2026

Moderação

aceite

Entrada

VDB-378147

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!