Authenticated Iframe Injection in Dato CMS Web Previews plugin. This vulnerability permits a malicious authenticated user to circumvent the restriction enforced on the configured frontend URL, enabling the loading of arbitrary external resources or origins. This issue affects Web Previews < v1.0.31.
CVE-2026-3327 is an authenticated iframe injection vulnerability in Dato CMS Web Previews plugin versions before v1.0.31 that allows malicious authenticated users to bypass frontend URL restrictions and load arbitrary external resources. This vulnerability could enable XSS attacks and unauthorized content injection through iframe manipulation.
يؤثر هذا الضعف على مكون معاينات الويب في Dato CMS الإصدارات السابقة للإصدار v1.0.31 ويسمح للمستخدمين المصرحين بتجاوز قيود عنوان URL الأمامي المكون. يمكن للمهاجمين استخدام هذا الثغرة لحقن محتوى خارجي تعسفي أو تنفيذ هجمات XSS من خلال معالجة الإطارات.
An authenticated iframe injection flaw in Dato CMS Web Previews plugin (versions < v1.0.31) permits authorized users to circumvent frontend URL restrictions and load arbitrary external resources. This could facilitate cross-site scripting attacks and unauthorized content loading.
Upgrade Dato CMS Web Previews plugin to version v1.0.31 or later immediately. Implement strict Content Security Policy (CSP) headers to restrict iframe sources. Review and audit user access permissions for authenticated users with preview capabilities. Monitor for suspicious iframe injection attempts in logs.
قم بترقية مكون معاينات الويب في Dato CMS إلى الإصدار v1.0.31 أو أحدث فوراً. طبق سياسات أمان المحتوى (CSP) صارمة لتقييد مصادر الإطارات. راجع وتدقيق صلاحيات وصول المستخدمين المصرحين. راقب محاولات حقن الإطارات المريبة في السجلات.