Vulnerabilidad en Sylius (CVE-2026-31823)

Sylius es un marco de comercio electrónico de código abierto basado en Symfony. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenada y autenticada en varios lugares del frontend de la tienda y del panel de administración debido a que los nombres de las entidades no desinfectados se representan como HTML sin procesar. Migas de pan de la tienda (shared/breadcrumbs.html.twig): la macro de migas de pan utiliza el filtro Twig |raw en los valores de las etiquetas. Dado que los nombres de taxones, los nombres de productos y los nombres de antecesores fluyen directamente a estas etiquetas, un nombre de taxón malicioso como se representa y se ejecuta como JavaScript en la tienda. Selector de taxones de productos del administrador (ProductTaxonTreeController.js): El método rowRenderer interpola ${name} directamente en una plantilla literal que crea HTML, lo que permite la inyección de scripts a través de los nombres de taxones en el panel de administración. Campos de autocompletado del administrador (Tom Select): Los elementos y opciones desplegables representan los nombres de las entidades como HTML sin procesar sin escapar, lo que permite XSS a través de cualquier campo de autocompletado que muestre nombres de entidades. Un administrador autenticado puede inyectar HTML o JavaScript arbitrario a través de nombres de entidades (por ejemplo, nombre de taxón) que se representan de forma persistente para todos los usuarios. El problema se ha solucionado en las versiones: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 y superiores.