Plateforme
nodejs
Composant
node.js
Corrigé dans
4.28.1
2.17.2
2.17.3
CVE-2026-40186 describes a cross-site scripting (XSS) vulnerability in ApostropheCMS, an open-source Node.js content management system. This vulnerability arises from a regression in the sanitize-html package, specifically affecting versions 2.17.1 and subsequently ApostropheCMS versions before 4.28.0. Exploitation allows attackers to inject malicious scripts, potentially compromising user sessions and website integrity. The vulnerability was published on 2026-04-15 and a fix is available.
La vulnérabilité CVE-2026-40186 affecte ApostropheCMS via sa dépendance à la bibliothèque sanitize-html. Une régression introduite dans la version 2.17.1 de sanitize-html permet de contourner l'application des restrictions allowedTags pour le texte contenu dans les éléments qui ne font pas partie du tableau nonTextTagsArray (plus précisément, textarea et option). Cela signifie qu'un attaquant pourrait injecter du code HTML malveillant dans des champs de texte enrichi qui devraient normalement être protégés. La vulnérabilité est due à une hypothèse incorrecte dans le code de sanitize-html concernant le décodage HTML par htmlparser2. La version 4.28.0 d'ApostropheCMS est affectée en raison de cette dépendance. L'injection de code HTML peut entraîner l'exécution de scripts dans le navigateur de l'utilisateur, le vol d'informations sensibles ou la modification du contenu du site web.
Un attaquant pourrait exploiter cette vulnérabilité en injectant du code HTML malveillant dans des champs textarea ou option via des formulaires ou des éditeurs de contenu. Si le code HTML injecté n'est pas correctement nettoyé, il pourrait être rendu par le navigateur de l'utilisateur, permettant l'exécution de scripts ou l'injection de contenu malveillant. La probabilité d'exploitation dépend de la configuration du site web et de la présence de formulaires ou d'éditeurs de contenu qui utilisent des champs textarea ou option. La vulnérabilité est particulièrement préoccupante pour les sites web qui traitent des informations sensibles ou qui sont utilisés par un grand nombre d'utilisateurs.
Organizations using ApostropheCMS versions prior to 4.28.0 are at risk. This includes websites and applications built on ApostropheCMS that handle user-generated content, particularly those that rely on textarea and option elements for input. Shared hosting environments utilizing ApostropheCMS are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
npm list sanitize-html• nodejs / server:
npm audit sanitize-html• generic web: Inspect ApostropheCMS templates for unsanitized user input within textarea and option elements. Look for patterns that bypass HTML escaping. • generic web: Review access logs for unusual JavaScript execution patterns or requests containing suspicious characters within form fields.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour ApostropheCMS vers la version 4.28.1 ou supérieure, ou de mettre à jour la bibliothèque sanitize-html vers la version 2.17.2 ou supérieure. Cette mise à jour corrige la régression qui permet de contourner les restrictions allowedTags. En attendant la mise à jour, des mesures d'atténuation supplémentaires sont recommandées, telles que la validation stricte des entrées utilisateur côté serveur et la mise en œuvre d'une politique de sécurité du contenu (CSP) pour restreindre l'exécution de scripts provenant de sources non fiables. Il est crucial de revoir et de mettre à jour toutes les dépendances d'ApostropheCMS pour assurer la sécurité du site web. Des tests approfondis après la mise à jour sont recommandés pour vérifier que la vulnérabilité a été corrigée et que le site web fonctionne correctement.
Actualice el paquete sanitize-html a la versión 2.17.2 o superior. Esto corrige un problema que permite la inyección de HTML arbitrario a través de la decodificación de entidades, lo que podría resultar en ataques de Cross-Site Scripting (XSS). Verifique también que ApostropheCMS esté actualizado a la versión 4.29.0 o superior.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
ApostropheCMS est un système de gestion de contenu (CMS) open source basé sur Node.js.
La mise à jour corrige une vulnérabilité de sécurité qui pourrait permettre aux attaquants d'injecter du code malveillant sur votre site web.
sanitize-html est une bibliothèque Node.js utilisée pour nettoyer et désinfecter le code HTML.
Appliquez des mesures d'atténuation supplémentaires, telles que la validation stricte des entrées et la mise en œuvre d'une politique de sécurité du contenu (CSP).
Consultez la documentation officielle d'ApostropheCMS et la page CVE-2026-40186 sur la base de données des vulnérabilités nationales (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.