CVE-2026-41159 in mermaid
Tóm tắt
Bởi VulDB • 29/05/2026
Mermaid là một công cụ JavaScript sử dụng văn bản lấy cảm hứng từ Markdown để tạo và chỉnh sửa các sơ đồ và biểu đồ. Trước phiên bản 10.9.6 và 11.15.0, cấu hình mặc định của Mermaid cho phép tiêm CSS áp dụng ra ngoài sơ đồ Mermaid thông qua các tùy chọn cấu hình fontFamily, themeCSS và altFontFamily. CSS được tiêm khai thác cách xử lý ký tự & (tham chiếu phạm vi) của stylis. :not(&) bỏ qua cơ chế gán phạm vi tự động #mermaid-xxx, áp dụng các kiểu cho tất cả các phần tử trên trang. Các at-rules toàn cục (@font-face, @keyframes, @counter-style) cũng có thể được tiêm vì stylis nâng chúng lên cấp cao nhất. Điều này cho phép làm biến dạng trang web và đánh cắp các thuộc tính DOM thông qua các bộ chọn CSS :has(). Lỗ hổng này đã được sửa trong các phiên bản 10.9.6 và 11.15.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.