प्लेटफ़ॉर्म
nodejs
घटक
node.js
में ठीक किया गया
4.28.1
2.17.2
2.17.3
CVE-2026-40186 ApostropheCMS में एक HTML इंजेक्शन भेद्यता है। यह भेद्यता टेक्स्ट क्षेत्रों में अनियंत्रित HTML को इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले हो सकते हैं। यह भेद्यता ApostropheCMS संस्करण 4.28.0 और sanitize-html पैकेज के संस्करण 2.17.1 में पाई गई है। संस्करण 2.17.2 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को वेबसाइट पर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति दे सकती है, जिससे उपयोगकर्ता डेटा चोरी हो सकता है, सत्र हाईजैक हो सकते हैं, या वेबसाइट की सामग्री में हेरफेर किया जा सकता है। हमलावर टेक्स्ट क्षेत्रों के माध्यम से स्क्रिप्ट इंजेक्ट कर सकते हैं, जो तब अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित हो सकती हैं। यह विशेष रूप से उन वेबसाइटों के लिए चिंताजनक है जो उपयोगकर्ता-जनित सामग्री पर निर्भर करती हैं, जैसे कि ब्लॉग या फ़ोरम। इस भेद्यता का शोषण करने के लिए, एक हमलावर को एक टेक्स्ट क्षेत्र में दुर्भावनापूर्ण HTML कोड इंजेक्ट करने में सक्षम होना चाहिए। यह आमतौर पर एक क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले के माध्यम से किया जा सकता है।
CVE-2026-40186 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन sanitize-html भेद्यता के कारण सक्रिय शोषण की संभावना है। यह भेद्यता 2026-04-15 को प्रकाशित हुई थी।
Organizations using ApostropheCMS versions prior to 4.28.0 are at risk. This includes websites and applications built on ApostropheCMS that handle user-generated content, particularly those that rely on textarea and option elements for input. Shared hosting environments utilizing ApostropheCMS are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
npm list sanitize-html• nodejs / server:
npm audit sanitize-html• generic web: Inspect ApostropheCMS templates for unsanitized user input within textarea and option elements. Look for patterns that bypass HTML escaping. • generic web: Review access logs for unusual JavaScript execution patterns or requests containing suspicious characters within form fields.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40186 को कम करने के लिए, ApostropheCMS को तुरंत संस्करण 2.17.2 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके टेक्स्ट क्षेत्रों में HTML इंजेक्शन को रोकने का प्रयास किया जा सकता है। इसके अतिरिक्त, इनपुट को सैनिटाइज करने और आउटपुट को एस्केप करने के लिए अतिरिक्त सुरक्षा उपायों को लागू किया जा सकता है। अस्थायी रूप से, टेक्स्ट क्षेत्रों में HTML इनपुट को अक्षम करने पर विचार करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, वेबसाइट के सभी टेक्स्ट क्षेत्रों का परीक्षण करें।
sanitize-html पैकेज को संस्करण 2.17.2 या उच्चतर में अपडेट करें। यह एक समस्या को ठीक करता है जो एंटिटी डिकोडिंग के माध्यम से मनमाना HTML इंजेक्शन की अनुमति दे सकती है, जिससे क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले हो सकते हैं। यह भी सुनिश्चित करें कि ApostropheCMS संस्करण 4.29.0 या उच्चतर में अपडेट किया गया है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40186 ApostropheCMS में एक HTML इंजेक्शन भेद्यता है जो टेक्स्ट क्षेत्रों में अनियंत्रित HTML को इंजेक्ट करने की अनुमति देती है।
यदि आप ApostropheCMS के संस्करण 4.28.0 का उपयोग कर रहे हैं या sanitize-html पैकेज के संस्करण 2.17.1 पर निर्भर हैं, तो आप प्रभावित हैं।
ApostropheCMS को तुरंत संस्करण 2.17.2 में अपडेट करें।
हालांकि अभी तक कोई सार्वजनिक शोषण नहीं देखा गया है, लेकिन sanitize-html भेद्यता के कारण सक्रिय शोषण की संभावना है।
ApostropheCMS वेबसाइट पर आधिकारिक सलाहकार देखें: [https://apostrophecms.com/security](https://apostrophecms.com/security)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।