CVE-2026-12202: Cross-Site Scripting (XSS) Armazenado no parâmetro CSS class name do endpoint Blocks
Publicação da CVE: https://www.cve.org/CVERecord?id=CVE-2026-12202
Resumo
Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado foi identificada no endpoint Blocks da aplicação Subrion CMS. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos por meio do parâmetro CSS class name. Os scripts injetados são armazenados no servidor e executados automaticamente, representando um risco significativo de segurança.
Detalhes
Endpoint Vulnerável: Blocks
Parâmetro: CSS class name
PoC
Payload
|
|
Passos para Reprodução:
Acesse o painel administrativo e clique em "Edit Blocks". Na página "Blocks", clique no botão "Add Block" para configurar uma nova entrada. Insira o payload no campo "CSS class name", digite qualquer conteúdo nos outros campos e clique em "Add". O payload será ativado automaticamente:


Impacto
- Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por usuários.
- Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
- Distribuição de malware: Disseminação de código indesejado ou prejudicial para as vítimas.
- Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
- Manipulação de dados ou desfiguração (defacement): Alteração ou interrupção do conteúdo do site.
- Dano à reputação: Erosão da confiança entre usuários e administradores do site.
Referência
https://github.com/KarinaGante/KG-Sec/blob/main/CVEs/SubrionCMS/CVE-2026-12202.md
Encontrado por
Por: CVE-Hunters
