CVE-2026-53608
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
ApostropheCMS w wersjach do 1.4.2 pakietu `@apostrophecms/seo` wstrzykuje identyfikatory Google Analytics i Google Tag Manager bez odpowiedniej sanitizacji. Użytkownicy z dostępem na poziomie edytora mogą ustawić te pola na złośliwe wartości, co prowadzi do przechowywanego ataku XSS.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co zagraża bezpieczeństwu danych użytkowników oraz integralności strony. Każdy odwiedzający stronę może być narażony na atak.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji pakietu `@apostrophecms/seo` oraz wprowadzenie dodatkowych mechanizmów sanitizacji danych wejściowych. Monitorowanie i ograniczenie dostępu do edytorów może również pomóc w minimalizacji ryzyka.
Oryginalny opis (angielski, źródło NVD)
ApostropheCMS is an open-source Node.js content management system. Versions up to and including 1.4.2 of the `@apostrophecms/seo` package injects the Google Analytics Tracking ID (`seoGoogleTrackingId`) and Google Tag Manager ID (`seoGoogleTagManager`) directly into `<script>` tag bodies using JavaScript template literals without any sanitization or validation. Any user with editor-level access (the default role for content managers) can set these fields to a malicious value, resulting in stored XSS that executes on every page for every visitor of the site. As of time of publication, no known patched versions are available.

