Featured image of post CVE-2026-11434

CVE-2026-11434

Cross-Site Scripting (XSS) Armazenado

CVE-2026-11434: Cross-Site Scripting (XSS) Armazenado no endpoint /admin/blocks via Blocks Plugin

Publicação da CVE: https://www.cve.org/CVERecord?id=CVE-2026-11434

Resumo

Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado foi identificada no endpoint /admin/blocks da aplicação FluentCMS. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos por meio do Blocks Plugin. Os scripts injetados são armazenados no servidor e executados automaticamente sempre que a página principal é acessada pelos usuários, representando um risco significativo de segurança.

Detalhes

Endpoint vulnerável: /admin/blocks

Parâmetro: Blocks Plugin

PoC

Payload

1
"><img src=x onerror=alert('CVE-Hunters')>

Passos para Reproduzir:

Acesse o endpoint vulnerável e clique em "Add Block" para configurar uma nova entrada. Insira o payload no campo "Content", digite qualquer informação nos outros campos e clique em "Submit". Acesse as páginas de pré-visualização via "/?pagePreview=1", arraste e solte o "Block Plugin" em qualquer lugar da página e selecione o bloco configurado anteriormente. Acesse a página principal e o script será executado automaticamente:

Impacto

  • Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por usuários.
  • Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
  • Distribuição de malware: Disseminação de código indesejado ou prejudicial para as vítimas.
  • Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
  • Manipulação de dados ou desfiguração (defacement): Alteração ou interrupção do conteúdo do site.
  • Dano à reputação: Erosão da confiança entre usuários e administradores do site.

Referência

https://github.com/KarinaGante/KG-Sec/blob/main/CVEs/FluentCMS/CVE-2026-11434.md

Encontrado por

Karina Gante

Por: CVE-Hunters

Built with Hugo
Theme Stack designed by Jimmy