CVE-2026-33889 in apostrophethông tin

Tóm tắt

Bởi VulDB • 19/06/2026

ApostropheCMS là một hệ thống quản lý nội dung (CMS) mã nguồn mở dựa trên Node.js. Các phiên bản từ 4.28.0 trở về trước chứa lỗ hổng lưu trữ cross-site scripting (XSS) trong module @apostrophecms/color-field, nơi các giá trị màu sắc có tiền tố -- vượt qua xác thực của TinyColor dành cho các thuộc tính tùy chỉnh CSS, và lệnh gọi launder.string() chỉ thực hiện ép kiểu mà không loại bỏ các ký tự đặc biệt HTML. Những giá trị chưa được kiểm duyệt sau đó được nối trực tiếp vào các thẻ <style>, cả trong các phần tử style theo từng widget hiển thị cho tất cả người dùng truy cập lẫn trong bảng định dạng toàn cầu (global stylesheet) dành cho biên tập viên, với đầu ra được đánh dấu là an toàn HTML. Một biên tập viên có thể chèn một giá trị đóng thẻ style và thực thi mã JavaScript tùy ý trên trình duyệt của mọi khách truy cập đến bất kỳ trang nào chứa widget bị ảnh hưởng. Điều này cho phép tấn công chiếm đoạt phiên làm việc hàng loạt, đánh cắp cookie và leo thang đặc quyền lên kiểm soát quản trị nếu người dùng có vai trò admin xem nội dung nháp. Vấn đề này đã được sửa chữa trong phiên bản 4.29.0.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

24/03/2026

Tiết lộ

15/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00210

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!