CVE-2026-11434: Cross-Site Scripting (XSS) Armazenado no endpoint /admin/blocks via Blocks Plugin
Publicação da CVE: https://www.cve.org/CVERecord?id=CVE-2026-11434
Resumo
Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado foi identificada no endpoint /admin/blocks da aplicação FluentCMS. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos por meio do Blocks Plugin. Os scripts injetados são armazenados no servidor e executados automaticamente sempre que a página principal é acessada pelos usuários, representando um risco significativo de segurança.
Detalhes
Endpoint vulnerável: /admin/blocks
Parâmetro: Blocks Plugin
PoC
Payload
|
|
Passos para Reproduzir:
Acesse o endpoint vulnerável e clique em "Add Block" para configurar uma nova entrada. Insira o payload no campo "Content", digite qualquer informação nos outros campos e clique em "Submit". Acesse as páginas de pré-visualização via "/?pagePreview=1", arraste e solte o "Block Plugin" em qualquer lugar da página e selecione o bloco configurado anteriormente. Acesse a página principal e o script será executado automaticamente:



Impacto
- Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por usuários.
- Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
- Distribuição de malware: Disseminação de código indesejado ou prejudicial para as vítimas.
- Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
- Manipulação de dados ou desfiguração (defacement): Alteração ou interrupção do conteúdo do site.
- Dano à reputação: Erosão da confiança entre usuários e administradores do site.
Referência
https://github.com/KarinaGante/KG-Sec/blob/main/CVEs/FluentCMS/CVE-2026-11434.md
Encontrado por
Por: CVE-Hunters
