Mermaid: Improper sanitization of `classDef` in state diagrams leads to HTML injection — CVE-2026-41149
GitHub · GitHub · CVE-2026-41149
ID
CVE-2026-41149
CVE-2026-41149
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
medium
medium
CVSS
5.3
5.3
Zusammenfassung
### Impact Under the default configuration, Mermaid state diagram's `classDef` allow DOM injection that escapes the SVG, although `<script>` tags are removed, preventing XSS. #### Proof-of-concept ``` stateDiagram-v2 classDef xss fill:red</style></svg><style>*{x:x;y:y;overflow:visible!important;contain:none!important;transform:none!important;filter:none!important;clip-path:none!important}</style><div…
Produkt
npm: mermaid
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.