CVE-2026-42157: XSS em Flowsint via Map Nodes
Plataforma
javascript
Componente
flowsint
Corrigido em
1.2.3
Flowsint, uma ferramenta OSINT de código aberto, apresenta uma vulnerabilidade de Cross-Site Scripting (XSS) antes da versão 1.2.3. Um atacante remoto pode criar um nó de mapa com um rótulo malicioso contendo HTML arbitrário. Ao selecionar a aba de mapa e um marcador de nó de mapa, o HTML malicioso é renderizado, potencialmente executando scripts no navegador do usuário.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador de um usuário que interage com o Flowsint. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação da página web exibida. O impacto é amplificado se o Flowsint for usado para analisar dados confidenciais, pois um atacante pode usar a XSS para obter acesso a essas informações ou comprometer a integridade do sistema.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-05-12. A probabilidade de exploração é considerada média, dada a facilidade de criação de payloads XSS e a ampla disponibilidade de ferramentas para explorar essa vulnerabilidade. Não há relatos públicos de exploração ativa no momento da publicação. Consulte o NVD e a CISA para atualizações.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o Flowsint para a versão 1.2.3. Como medida temporária, desative a funcionalidade de mapa ou restrinja a capacidade dos usuários de criar nós de mapa. Implemente validação de entrada rigorosa para todos os dados fornecidos pelo usuário, especialmente rótulos de nós de mapa. Utilize Content Security Policy (CSP) para restringir as fontes de scripts que podem ser executados no navegador. Após a atualização, confirme a correção verificando se o HTML injetado não é renderizado corretamente.
Como corrigirtraduzindo…
Actualice Flowsint a la versión 1.2.3 o posterior para mitigar el riesgo de XSS. Esta versión corrige la vulnerabilidad al sanitizar correctamente las entradas de los usuarios en los marcadores del mapa, evitando la ejecución de código malicioso.
Perguntas frequentes
O que é CVE-2026-42157 — XSS em Flowsint?
É uma vulnerabilidade XSS no Flowsint que permite a injeção de HTML malicioso.
Estou afetado pelo CVE-2026-42157 no Flowsint?
Se você estiver usando Flowsint nas versões 1.0.0 até 1.2.2, você está afetado.
Como corrijo o CVE-2026-42157 no Flowsint?
Atualize o Flowsint para a versão 1.2.3.
O CVE-2026-42157 está sendo explorado ativamente?
Não há relatos públicos de exploração ativa no momento.
Onde encontro o aviso oficial do Flowsint para o CVE-2026-42157?
Consulte o NVD (National Vulnerability Database) e a CISA (Cybersecurity and Infrastructure Security Agency).
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...