CVE-2026-45011
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
ApostropheCMS w wersji 4.29.0 zawiera podatność na przechowywane ataki XSS w funkcjonalności widgetu obrazów. Użytkownik z rolą Edytora może skonfigurować link widgetu obrazów, aby używał ładunku URL javascript:, co pozwala na publikację złośliwego widgetu na stronie.
Ocena ryzyka
Złośliwy widget może zostać opublikowany na stronie, co naraża użytkowników, w tym administratorów, na wykonanie dowolnego kodu JavaScript w ich przeglądarkach. To stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.
Rekomendacja
Zaleca się unikanie używania wersji 4.29.0 oraz monitorowanie dostępnych aktualizacji, które mogą naprawić tę podatność. Należy również ograniczyć uprawnienia edytorów do publikacji, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
ApostropheCMS is an open-source Node.js content management system. Version 4.29.0 has a stored cross-site scripting vulnerability in the image widget functionality. A user with the Editor role can configure an image widget link to use a javascript: URL payload. Because editors have permission to publish pages, the malicious widget can be published to the live site. When another user, including an administrator or public visitor, clicks the affected image/link, arbitrary JavaScript executes in the victim’s browser. As of time of publication, no known patched versions are available.

