CVE-2026-33889 in apostrophe
Сводка
по VulDB • 16.06.2026
ApostropheCMS — это система управления контентом с открытым исходным кодом, написанная на Node.js. Версии 4.28.0 и более ранние содержат уязвимость сохраненного межсайтового скриптинга (Stored XSS) в модуле @apostrophecms/color-field, где значения цветов, префикс которых начинается с --, обходят проверку TinyColor, предназначенную для пользовательских свойств CSS, а вызов launder.string() выполняет только приведение типов, не удаляя HTML-метасимволы. Эти неочищенные значения затем напрямую конкатенируются в теги <style> как в стилях, специфичных для виджетов и отображаемых всем посетителям, так и в глобальной таблице стилей, отображаемой редакторам, при этом вывод помечается как безопасный HTML. Редактор может внедрить значение, которое закрывает тег <style> и выполняет произвольный JavaScript в браузере каждого посетителя любой страницы, содержащей затронутый виджет. Это позволяет осуществлять массовую перехват сессий, кражу файлов cookie и повышение привилегий до административного контроля, если администратор просматривает черновой контент. Эта проблема исправлена в версии 4.29.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.