Vulnerabilidad en LinkAce de Kovah (CVE-2026-27458)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/02/2026
Última modificación:
24/02/2026
Descripción
LinkAce es un archivo autoalojado para recopilar enlaces de sitios web. Las versiones 2.4.2 e inferiores tienen una vulnerabilidad de cross-site scripting almacenado a través del endpoint de feed Atom para listas (/lists/feed). Un usuario autenticado puede inyectar una carga útil que rompe CDATA en la descripción de una lista que escapa de la sección CDATA de XML, inyecta un elemento SVG nativo en el documento XML Atom y ejecuta JavaScript arbitrario directamente en el navegador cuando se visita la URL del feed. No se requiere un lector RSS o un contexto de renderizado adicional — el analizador XML nativo del navegador procesa el SVG inyectado y dispara el gestor de eventos onload. Esta vulnerabilidad existe porque la plantilla del feed de listas genera las descripciones de las listas utilizando la sintaxis sin procesar de Blade ({!! !!}) sin sanitización dentro de un bloque CDATA. El detalle crítico es que, debido a que la salida se encuentra dentro de ..., un atacante puede inyectar la secuencia ]]> para cerrar la sección CDATA prematuramente, y luego inyectar elementos XML/SVG arbitrarios que el navegador analiza y ejecuta de forma nativa como parte del documento Atom. Este problema ha sido solucionado en la versión 2.4.3.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linkace:linkace:*:*:*:*:*:*:*:* | 2.4.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página