Plataforma
ruby
Componente
decidim-core
Corrigido em
0.31.1
0.30.6
0.31.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no componente decidim-core, afetando versões até 0.31.0.rc2. Esta falha permite a execução de código arbitrário no contexto de qualquer usuário que visualize uma página de comentários, comprometendo a confidencialidade e a integridade dos dados. Atualmente, não há patches ou workarounds disponíveis para mitigar esta vulnerabilidade.
A vulnerabilidade XSS em decidim-core permite que um atacante malicioso injete scripts maliciosos na página de comentários. Quando um usuário legítimo visita essa página, o script é executado no navegador do usuário, permitindo que o atacante roube cookies, redirecione o usuário para sites maliciosos ou modifique o conteúdo da página. O impacto é significativo, pois a execução de código ocorre no contexto de qualquer usuário, potencialmente permitindo o acesso não autorizado a informações sensíveis e a manipulação de dados. A exploração bem-sucedida pode levar a um comprometimento completo do sistema e à perda de dados.
A vulnerabilidade foi descoberta durante uma auditoria de segurança organizada por octree e conduzida por Secu Labs, financiada pela cidade de Lausanne (Suíça). A ausência de patches e workarounds sugere que a correção pode levar tempo. A gravidade crítica (CVSS 9.5) indica um alto risco de exploração. Não há informações disponíveis sobre campanhas de exploração ativas ou a inclusão da CVE no KEV da CISA no momento da publicação.
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Devido à ausência de patches ou workarounds oficiais para a vulnerabilidade CVE-2026-23891 no decidim-core, a mitigação imediata é desafiadora. A recomendação principal é atualizar para a versão corrigida (0.31.1) assim que estiver disponível e testada em seu ambiente. Enquanto isso, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas do usuário e a aplicação de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts inline. Monitore ativamente os logs do sistema em busca de atividades suspeitas.
Atualize Decidim para a versão 0.30.5 ou superior (0.31.1) para mitigar a vulnerabilidade XSS. Esta atualização corrige o problema ao sanitizar corretamente a entrada do usuário no campo do nome de usuário, prevenindo a execução de código malicioso. Consulte as notas da versão para obter instruções detalhadas de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23891 is a CRITICAL Cross-Site Scripting (XSS) vulnerability in Decidim-Core versions up to 0.31.0.rc2. It allows attackers to execute malicious code in the context of other users, potentially compromising their sessions and data.
You are affected if you are running Decidim-Core versions 0.31.0.rc2 or earlier. Immediately check your version and upgrade to 0.31.1 or later to mitigate the risk.
The recommended fix is to upgrade Decidim-Core to version 0.31.1 or later. There are currently no available workarounds.
While no active exploitation campaigns have been publicly reported, the vulnerability's severity and ease of exploitation suggest it may become a target. Monitor your systems closely.
Refer to the official Decidim security advisory for detailed information and updates regarding CVE-2026-23891. Check the Decidim website and security mailing lists for announcements.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.