CVE-2026-26226
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 - wyżej niż 40% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece beautiful-mermaid przed wersją 0.1.3 umożliwia wstrzyknięcie atrybutów SVG, co prowadzi do podatności na skrypty między witrynami (XSS) podczas renderowania diagramów Mermaid kontrolowanych przez atakującego. Wartości pochodzące od użytkownika z dyrektyw style i classDef są interpolowane do wartości atrybutów SVG bez odpowiedniego kodowania, co pozwala na wyrwanie się z kontekstu atrybutu i wstrzyknięcie dowolnych elementów/atrybutów SVG do wyrenderowanego wyniku.
Ocena ryzyka
Ryzyko polega na możliwości wykonania skryptów w kontekście strony osadzającej wygenerowany SVG, co może prowadzić do kradzieży danych sesji, przejęcia konta użytkownika lub innych działań szkodliwych w przeglądarce ofiary.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę beautiful-mermaid do wersji 0.1.3 lub nowszej, która zawiera poprawkę usuwającą podatność.
Oryginalny opis (angielski, źródło NVD)
beautiful-mermaid versions prior to 0.1.3 contain an SVG attribute injection issue that can lead to cross-site scripting (XSS) when rendering attacker-controlled Mermaid diagrams. User-controlled values from Mermaid style and classDef directives are interpolated into SVG attribute values without proper escaping, allowing crafted input to break out of an attribute context and inject arbitrary SVG elements/attributes into the rendered output. When the generated SVG is embedded in a web page, this can result in script execution in the context of the embedding origin.

