Plataforma
nodejs
Componente
node.js
Corrigido em
4.28.1
2.17.2
2.17.3
A vulnerabilidade CVE-2026-40186 afeta o pacote sanitize-html para Node.js, utilizado pelo ApostropheCMS. Uma regressão introduzida em uma versão específica permite que tags não permitidas sejam injetadas em elementos como textareas e options, levando a potenciais ataques de Cross-Site Scripting (XSS). As versões 2.17.1 e 4.28.0 do ApostropheCMS são impactadas devido à sua dependência da versão vulnerável do sanitize-html; uma correção foi lançada na versão 2.17.2.
A vulnerabilidade CVE-2026-40186 afeta o ApostropheCMS através da sua dependência da biblioteca sanitize-html. Uma regressão introduzida na versão 2.17.1 do sanitize-html permite contornar a aplicação das restrições de allowedTags para texto dentro de elementos que não pertencem ao array nonTextTagsArray (especificamente, textarea e option). Isso significa que um atacante pode injetar código HTML malicioso dentro de campos de texto enriquecido que, normalmente, deveriam estar protegidos. A vulnerabilidade se deve a uma suposição incorreta no código do sanitize-html sobre a decodificação de HTML por parte do htmlparser2. A versão 4.28.0 do ApostropheCMS é afetada devido a esta dependência. A injeção de código HTML pode levar à execução de scripts no navegador do utilizador, roubo de informações sensíveis ou à modificação do conteúdo do site.
Um atacante pode explorar esta vulnerabilidade injetando código HTML malicioso em campos textarea ou option através de formulários ou editores de conteúdo. Se o código HTML injetado não for devidamente sanitizado, pode ser renderizado pelo navegador do utilizador, permitindo a execução de scripts ou a injeção de conteúdo malicioso. A probabilidade de exploração depende da configuração do site e da presença de formulários ou editores de conteúdo que utilizem campos textarea ou option. A vulnerabilidade é particularmente preocupante em sites que lidam com informações sensíveis ou que são utilizados por um grande número de utilizadores.
Organizations using ApostropheCMS versions prior to 4.28.0 are at risk. This includes websites and applications built on ApostropheCMS that handle user-generated content, particularly those that rely on textarea and option elements for input. Shared hosting environments utilizing ApostropheCMS are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
npm list sanitize-html• nodejs / server:
npm audit sanitize-html• generic web: Inspect ApostropheCMS templates for unsanitized user input within textarea and option elements. Look for patterns that bypass HTML escaping. • generic web: Review access logs for unusual JavaScript execution patterns or requests containing suspicious characters within form fields.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar o ApostropheCMS para a versão 4.28.1 ou superior, ou atualizar a biblioteca sanitize-html para a versão 2.17.2 ou superior. Esta atualização corrige a regressão que permite contornar as restrições de allowedTags. Enquanto a atualização não for realizada, recomenda-se aplicar medidas de mitigação adicionais, como a validação rigorosa de todas as entradas do utilizador no lado do servidor e a implementação de uma política de segurança de conteúdo (CSP) para restringir a execução de scripts de fontes não confiáveis. É crucial rever e atualizar todas as dependências do ApostropheCMS para garantir a segurança do site. Recomenda-se realizar testes exaustivos após a atualização para verificar se a vulnerabilidade foi corrigida e se o site funciona corretamente.
Actualice el paquete sanitize-html a la versión 2.17.2 o superior. Esto corrige un problema que permite la inyección de HTML arbitrario a través de la decodificación de entidades, lo que podría resultar en ataques de Cross-Site Scripting (XSS). Verifique también que ApostropheCMS esté actualizado a la versión 4.29.0 o superior.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
ApostropheCMS é um sistema de gestão de conteúdo (CMS) de código aberto baseado em Node.js.
A atualização corrige uma vulnerabilidade de segurança que pode permitir que atacantes injetem código malicioso no seu site.
sanitize-html é uma biblioteca Node.js usada para limpar e sanitizar código HTML.
Aplique medidas de mitigação adicionais, como a validação rigorosa de entradas e a implementação de uma política de segurança de conteúdo (CSP).
Consulte a documentação oficial do ApostropheCMS e a página de CVE-2026-40186 no National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.