Open VSX Registry Stored XSS via Malicious SVG Icons ÔÇö CVE-2026-4983 (dansk)

0
257

Open VSX Registry Stored XSS via Malicious SVG Icons

Sammendrag

CVE-2026-4983 er en stored cross-site scripting (XSS) s├Ñrbarhed i Eclipse Open VSX Registry (versioner 0.1.0 til 0.34.1). Angriberen kan publicere en VS Code-udvidelse med et ondsindet SVG-ikon. N├Ñr en bruger navigerer direkte til ikon-URL'en, udf├©res scriptet i browseren.

CVSS 3.1: 4.7 (Medium) ÔÇö AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:N

Hvad er vuln├®rabiliteten/exploitet omkring

Open VSX Registry gemmer udvidelsesikoner som SVG-filer uden sanitering. Filen serveres med Content-Type: image/svg+xml og uden sikkerhedsheadere som Content-Security-Policy eller Content-Disposition: attachment. Dette g├©r det muligt for en angriber at indlejre JavaScript i SVG-filen og f├Ñ det udf├©rt i offerets browser.

Ved lokal storage (f.eks. selv-hostet Open VSX) udf├©res scriptet p├Ñ applikationens oprindelsesdom├ªne, hvilket kan f├©re til en stored XSS s├Ñrbarhed.

Căutare
Categorii
Citeste mai mult
Alte
Código de Calculadora Científica en PHP con Guardado de Calculos
file: calculator.php<?php // Iniciar sesiones para almacenar datos session_start(); //...
By Mario Serrano 2026-06-30 03:06:26 0 14
Alte
Titel (in Dutch)
Titel (in Dutch)Samenvatting (in Dutch)Dezeelcode van de package `expr-eval` is geïnfectueerd...
By Mario Serrano 2026-06-30 06:10:37 0 9
Cybersecurity
ðùð░ð│ð¥ð╗ð¥ð▓ð¥ð║ (ð▓ ÐÇÐâÐüÐüð║ð¥ð╝)
ðùð░ð│ð¥ð╗ð¥ð▓ð¥ð║ (ð▓ ÐÇÐâÐüÐüð║ð¥ð╝)ðíð▓ð¥ð┤ð║ð░ (ð▓ ÐÇÐâÐüÐüð║ð¥ð╝)ðºÐéð¥...
By Mario Serrano 2026-06-30 06:29:44 0 11
Cybersecurity
Titolo (in Italian) (Italiano)
Titolo (in Italian)Sintesi (in Italian)Il CVE-2026-12866 è un vulnerabilità di sicurezza che...
By Mario Serrano 2026-06-30 06:24:17 0 8
Cybersecurity
CVE-2026-12866: Codeausf├╝hrung in expr-eval beheben
CVE-2026-12866: Codeausf├╝hrung in expr-eval behebenDieses Dokument beschreibt die...
By Mario Serrano 2026-06-30 05:50:02 0 19