Katalog CVE

CVE-2026-52846

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Caddy przed wersją 2.11.4 zawiera podatność w funkcji szablonowej stripHTML, która nie usuwa w sposób niezawodny wszystkich znaczników HTML z ciągów wejściowych. Nieprawidłowo sformatowany HTML, taki jak <<>img src=x onerror=alert()>, może ominąć logikę usuwania znaczników, potencjalnie pozostawiając niebezpieczną treść w danych wyjściowych.

Ocena ryzyka

Ryzyko polega na możliwości wystąpienia ataku XSS po stronie klienta, jeśli niezaufane ciągi znaków są później renderowane jako HTML. Może to prowadzić do kradzieży danych sesji, przejęcia kont użytkowników lub wykonania złośliwego kodu w przeglądarce ofiary.

Rekomendacja

Należy niezwłocznie zaktualizować Caddy do wersji 2.11.4 lub nowszej, która zawiera poprawkę usuwającą tę lukę. Dodatkowo, zaleca się unikanie renderowania niezaufanych danych wejściowych jako HTML bez odpowiedniej sanityzacji.

Oryginalny opis (angielski, źródło NVD)

Caddy is an extensible server platform that uses TLS by default. Prior to 2.11.4, Caddy’s stripHTML template function cannot reliably remove all HTML tags from input strings. Certain malformed HTML, such as <<>img src=x onerror=alert()>, can bypass the tag-stripping logic, potentially leaving dangerous content in the output if it is later rendered as HTML. This may allow client-side XSS in cases where untrusted strings are rendered unsafely. This vulnerability is fixed in 2.11.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS