CVE-2026-53606
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
ApostropheCMS, system zarządzania treścią oparty na Node.js, zawiera podatność w sanitize-html, która pozwala na wykorzystanie niebezpiecznych schematów URI, takich jak 'javascript:', w atrybutach HTML. Wersje przed 2.17.5 nie blokują tych schematów, co prowadzi do możliwości ataków XSS.
Ocena ryzyka
Organizacje korzystające z podatnych wersji mogą być narażone na ataki XSS, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników.
Rekomendacja
Zaleca się aktualizację sanitize-html do wersji 2.17.5 lub nowszej, aby zablokować niebezpieczne schematy URI.
Oryginalny opis (angielski, źródło NVD)
ApostropheCMS is an open-source Node.js content management system, and sanitize-html provides a simple HTML sanitizer with a clear API. Versions of sanitize-html prior to 2.17.5 use `allowedSchemesAppliedToAttributes` (default: `['href', 'src', 'cite']`) to gate the `naughtyHref()` function that blocks dangerous URI schemes like `javascript:` and `vbscript:`. The HTML specification defines 10+ attributes that accept URIs (`action`, `formaction`, `data`, `poster`, `background`, `ping`, `xlink:href`, `dynsrc`, `lowsrc`), but none of these are included in the default gate list. When a developer allows any of these attributes in their configuration, `javascript:` URIs pass through completely unmodified, enabling XSS. Version 2.17.5 patches the issue.

