CVE-2026-27469

Isso es un servidor de comentarios ligero escrito en Python y JavaScript. En commits anteriores a 0afbfe0691ee237963e3fb0b2ee01c9e55ca2144, existe una vulnerabilidad de cross-site scripting (XSS) almacenado que afecta los campos de sitio web y de comentario del autor. El campo del sitio web fue escapado en HTML usando quote=False, lo que dejó las comillas simples y dobles sin escapar. Dado que el frontend inserta el valor del sitio web directamente en un atributo href entre comillas simples mediante concatenación de cadenas, una comilla simple en la URL rompe el contexto del atributo, permitiendo la inyección de manejadores de eventos arbitrarios (p. ej. onmouseover, onclick). El mismo escape está completamente ausente del endpoint de edición de comentarios para el usuario (PUT /id/) y del endpoint de edición de moderación (POST /id//edit/). Este problema ha sido parcheado en el commit 0afbfe0691ee237963e3fb0b2ee01c9e55ca2144. Como solución alternativa, habilitar la moderación de comentarios (moderation = enabled = true en isso.cfg) evita que los usuarios no autenticados publiquen comentarios, elevando la dificultad para la explotación, pero no mitiga completamente el problema ya que un moderador que active un comentario malicioso aún expondría a los visitantes.