Platform
nodejs
Component
node.js
Opgelost in
4.28.1
2.17.2
2.17.3
CVE-2026-40186 describes a cross-site scripting (XSS) vulnerability in ApostropheCMS, an open-source Node.js content management system. This vulnerability arises from a regression in the sanitize-html package, specifically affecting versions 2.17.1 and subsequently ApostropheCMS versions before 4.28.0. Exploitation allows attackers to inject malicious scripts, potentially compromising user sessions and website integrity. The vulnerability was published on 2026-04-15 and a fix is available.
CVE-2026-40186 heeft invloed op ApostropheCMS via de afhankelijkheid van de sanitize-html bibliotheek. Een regressie geïntroduceerd in versie 2.17.1 van sanitize-html omzeilt de handhaving van allowedTags voor tekst binnen elementen die niet in de nonTextTagsArray staan (specifiek textarea en option). Dit betekent dat een aanvaller kwaadaardige HTML-code kan injecteren in rich text velden die normaal gesproken beschermd zouden moeten zijn. De kwetsbaarheid is te wijten aan een onjuiste aanname in de code van sanitize-html met betrekking tot de HTML-decodering door htmlparser2. ApostropheCMS versie 4.28.0 is kwetsbaar vanwege deze afhankelijkheid. HTML-injectie kan leiden tot scriptuitvoering in de browser van de gebruiker, diefstal van gevoelige informatie of wijziging van de website-inhoud.
Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige HTML-code in textarea of option velden te injecteren via formulieren of content editors. Als de geïnjecteerde HTML-code niet correct wordt gesanitiseerd, kan deze door de browser van de gebruiker worden weergegeven, waardoor scriptuitvoering of het injecteren van kwaadaardige inhoud mogelijk wordt. De kans op exploitatie hangt af van de configuratie van de website en de aanwezigheid van formulieren of content editors die textarea of option velden gebruiken. De kwetsbaarheid is vooral zorgwekkend voor websites die gevoelige informatie verwerken of door een groot aantal gebruikers worden gebruikt.
Organizations using ApostropheCMS versions prior to 4.28.0 are at risk. This includes websites and applications built on ApostropheCMS that handle user-generated content, particularly those that rely on textarea and option elements for input. Shared hosting environments utilizing ApostropheCMS are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
npm list sanitize-html• nodejs / server:
npm audit sanitize-html• generic web: Inspect ApostropheCMS templates for unsanitized user input within textarea and option elements. Look for patterns that bypass HTML escaping. • generic web: Review access logs for unusual JavaScript execution patterns or requests containing suspicious characters within form fields.
disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om ApostropheCMS te upgraden naar versie 4.28.1 of hoger, of de sanitize-html bibliotheek te upgraden naar versie 2.17.2 of hoger. Deze update corrigeert de regressie die het omzeilen van de allowedTags restricties mogelijk maakt. Totdat de update is toegepast, worden aanvullende mitigerende maatregelen aanbevolen, zoals strenge server-side validatie van alle gebruikersinvoer en de implementatie van een Content Security Policy (CSP) om scriptuitvoering van onbetrouwbare bronnen te beperken. Het is cruciaal om alle ApostropheCMS-afhankelijkheden te beoordelen en te updaten om de beveiliging van de website te waarborgen. Grondige tests na de update worden aanbevolen om te verifiëren dat de kwetsbaarheid is verholpen en dat de website correct functioneert.
Actualice el paquete sanitize-html a la versión 2.17.2 o superior. Esto corrige un problema que permite la inyección de HTML arbitrario a través de la decodificación de entidades, lo que podría resultar en ataques de Cross-Site Scripting (XSS). Verifique también que ApostropheCMS esté actualizado a la versión 4.29.0 o superior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ApostropheCMS is een open-source content management systeem (CMS) gebaseerd op Node.js.
De update corrigeert een beveiligingskwetsbaarheid die aanvallers in staat zou kunnen stellen kwaadaardige code op uw website te injecteren.
sanitize-html is een Node.js bibliotheek die wordt gebruikt om HTML-code schoon te maken en te sanitiseren.
Pas aanvullende mitigerende maatregelen toe, zoals strenge invoervalidatie en de implementatie van een Content Security Policy (CSP).
Raadpleeg de officiële ApostropheCMS documentatie en de CVE-2026-40186 pagina in de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.