Featured image of post CVE-2026-12202

CVE-2026-12202

Cross-Site Scripting (XSS) Armazenado

CVE-2026-12202: Cross-Site Scripting (XSS) Armazenado no parâmetro CSS class name do endpoint Blocks

Publicação da CVE: https://www.cve.org/CVERecord?id=CVE-2026-12202

Resumo

Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado foi identificada no endpoint Blocks da aplicação Subrion CMS. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos por meio do parâmetro CSS class name. Os scripts injetados são armazenados no servidor e executados automaticamente, representando um risco significativo de segurança.

Detalhes

Endpoint Vulnerável: Blocks

Parâmetro: CSS class name

PoC

Payload

1
"><img src=x onerror=alert('CVE-Hunters2')>

Passos para Reprodução:

Acesse o painel administrativo e clique em "Edit Blocks". Na página "Blocks", clique no botão "Add Block" para configurar uma nova entrada. Insira o payload no campo "CSS class name", digite qualquer conteúdo nos outros campos e clique em "Add". O payload será ativado automaticamente:

Impacto

  • Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por usuários.
  • Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
  • Distribuição de malware: Disseminação de código indesejado ou prejudicial para as vítimas.
  • Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
  • Manipulação de dados ou desfiguração (defacement): Alteração ou interrupção do conteúdo do site.
  • Dano à reputação: Erosão da confiança entre usuários e administradores do site.

Referência

https://github.com/KarinaGante/KG-Sec/blob/main/CVEs/SubrionCMS/CVE-2026-12202.md

Encontrado por

Karina Gante

Por: CVE-Hunters

Built with Hugo
Theme Stack designed by Jimmy