CVE-2026-44990
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece sanitize-html przed wersją 2.17.4 umożliwia obejście mechanizmu sanityzacji HTML. Atakujący może umieścić złośliwy kod wewnątrz niedozwolonego elementu `xmp`, który w domyślnej konfiguracji (`disallowedTagsMode: 'discard'`) zostanie przekształcony w aktywny HTML lub JavaScript, prowadząc do trwałego XSS.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość wstrzyknięcia trwałego skryptu XSS do aplikacji, co może skutkować kradzieżą sesji użytkowników, przejęciem kont lub wyciekiem danych wrażliwych.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę sanitize-html do wersji 2.17.4 lub nowszej. W przypadku braku możliwości aktualizacji, zaleca się zmianę domyślnej konfiguracji na `disallowedTagsMode: 'escape'` lub ręczne filtrowanie elementu `xmp`.
Oryginalny opis (angielski, źródło NVD)
ApostropheCMS is an open-source Node.js content management system, and sanitize-html provides a simple HTML sanitizer with a clear API. Under the default configuration, versions of `sanitize-html` prior to 2.17.4 can turn attacker-controlled content inside a disallowed `xmp` element into live HTML or JavaScript. This is a sanitizer bypass in the default `disallowedTagsMode: 'discard'` path and can lead to stored XSS in applications that render sanitized output back to users. Version 2.17.4 patches the issue.

