CVE-2026-33889 in apostropheИнформация

Сводка

по VulDB • 16.06.2026

ApostropheCMS — это система управления контентом с открытым исходным кодом, написанная на Node.js. Версии 4.28.0 и более ранние содержат уязвимость сохраненного межсайтового скриптинга (Stored XSS) в модуле @apostrophecms/color-field, где значения цветов, префикс которых начинается с --, обходят проверку TinyColor, предназначенную для пользовательских свойств CSS, а вызов launder.string() выполняет только приведение типов, не удаляя HTML-метасимволы. Эти неочищенные значения затем напрямую конкатенируются в теги <style> как в стилях, специфичных для виджетов и отображаемых всем посетителям, так и в глобальной таблице стилей, отображаемой редакторам, при этом вывод помечается как безопасный HTML. Редактор может внедрить значение, которое закрывает тег <style> и выполняет произвольный JavaScript в браузере каждого посетителя любой страницы, содержащей затронутый виджет. Это позволяет осуществлять массовую перехват сессий, кражу файлов cookie и повышение привилегий до административного контроля, если администратор просматривает черновой контент. Эта проблема исправлена в версии 4.29.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

24.03.2026

Раскрытие

15.04.2026

Модерация

принято

Вход

VDB-357841

EPSS

0.00210

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!