Platform
ruby
Component
decidim-core
Opgelost in
0.31.1
0.30.6
0.31.1
CVE-2026-23891 beschrijft een ernstige Cross-Site Scripting (XSS) kwetsbaarheid in de decidim-core software, specifiek in het gebruikersnaamveld. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren in de context van elke gebruiker die een commentaar pagina bezoekt, wat resulteert in een aanzienlijke impact op de vertrouwelijkheid en integriteit van de data. De kwetsbaarheid treft versies van decidim-core tot en met 0.31.0.rc2; een upgrade naar versie 0.31.1 is vereist om de kwetsbaarheid te verhelpen.
De impact van deze XSS-kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de browser van elke gebruiker die een commentaar pagina bezoekt. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar kwaadaardige websites, of om de gebruikersinterface te manipuleren om gevoelige informatie te verkrijgen. De kwetsbaarheid is gecategoriseerd als 'stored', wat betekent dat de kwaadaardige code persistent is en automatisch wordt uitgevoerd wanneer een gebruiker de pagina bezoekt, waardoor de potentiële impact aanzienlijk wordt vergroot. De kwetsbaarheid kan leiden tot een compromittering van de hele applicatie en de data die het beheert.
Op dit moment zijn er geen publieke exploitatie details bekend, maar de kwetsbaarheid is gecategoriseerd als CRITICAL (CVSS score 9.5), wat duidt op een hoge mate van ernst. De kwetsbaarheid is ontdekt tijdens een security audit georganiseerd door octree en uitgevoerd door Secu Labs, gefinancierd door de stad Lausanne. Het is aannemelijk dat er in de toekomst proof-of-concept exploits beschikbaar komen, gezien de ernst van de kwetsbaarheid en de relatieve eenvoud van XSS-exploits.
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-23891 is het upgraden van decidim-core naar versie 0.31.1 of hoger. Aangezien er geen workarounds beschikbaar zijn, is een upgrade de enige effectieve manier om de kwetsbaarheid te verhelpen. Voor omgevingen waar een directe upgrade risico's met zich meebrengt, wordt aanbevolen om een testomgeving te gebruiken om de upgrade te valideren voordat deze in productie wordt doorgevoerd. Na de upgrade is het essentieel om de functionaliteit van de applicatie te testen om er zeker van te zijn dat de upgrade geen onverwachte problemen veroorzaakt. Controleer de Decidim documentatie voor specifieke instructies over het upgradeproces.
Actualiseer Decidim naar versie 0.30.5 of hoger (0.31.1) om de XSS kwetsbaarheid te mitigeren. Deze update corrigeert het probleem door de gebruikersinvoer in het gebruikersnaam veld correct te sanitiseren, waardoor de uitvoering van kwaadaardige code wordt voorkomen. Raadpleeg de release notes voor gedetailleerde update instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23891 is a CRITICAL Cross-Site Scripting (XSS) vulnerability in Decidim-Core versions up to 0.31.0.rc2. It allows attackers to execute malicious code in the context of other users, potentially compromising their sessions and data.
You are affected if you are running Decidim-Core versions 0.31.0.rc2 or earlier. Immediately check your version and upgrade to 0.31.1 or later to mitigate the risk.
The recommended fix is to upgrade Decidim-Core to version 0.31.1 or later. There are currently no available workarounds.
While no active exploitation campaigns have been publicly reported, the vulnerability's severity and ease of exploitation suggest it may become a target. Monitor your systems closely.
Refer to the official Decidim security advisory for detailed information and updates regarding CVE-2026-23891. Check the Decidim website and security mailing lists for announcements.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.