Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-4929

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/05/2026
Última modificación:
01/06/2026

Descripción

*** Pendiente de traducción *** Simple Hierarchical Select (SHS) for Drupal 7 contains cross-site scripting risk due to improper output escaping of term-derived text. Confirmed affected paths include field formatter output (shs_field_formatter_view) and term-tree child-term data generation (shs_term_get_children). Malicious taxonomy term names can be rendered unsafely depending on output context.<br /> This affects versions from 7.x-1.0 through (and including) 7.x-1.10.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:simple_hierarchical_select_project:simple_hierarchical_select:*:*:*:*:*:drupal:*:* 7.x-1.0 (incluyendo) 7.x-1.10 (incluyendo)