Open VSX Registry Stored XSS via Malicious SVG Icons ÔÇö CVE-2026-4983 (dansk)

0
262

Open VSX Registry Stored XSS via Malicious SVG Icons

Sammendrag

CVE-2026-4983 er en stored cross-site scripting (XSS) s├Ñrbarhed i Eclipse Open VSX Registry (versioner 0.1.0 til 0.34.1). Angriberen kan publicere en VS Code-udvidelse med et ondsindet SVG-ikon. N├Ñr en bruger navigerer direkte til ikon-URL'en, udf├©res scriptet i browseren.

CVSS 3.1: 4.7 (Medium) ÔÇö AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:N

Hvad er vuln├®rabiliteten/exploitet omkring

Open VSX Registry gemmer udvidelsesikoner som SVG-filer uden sanitering. Filen serveres med Content-Type: image/svg+xml og uden sikkerhedsheadere som Content-Security-Policy eller Content-Disposition: attachment. Dette g├©r det muligt for en angriber at indlejre JavaScript i SVG-filen og f├Ñ det udf├©rt i offerets browser.

Ved lokal storage (f.eks. selv-hostet Open VSX) udf├©res scriptet p├Ñ applikationens oprindelsesdom├ªne, hvilket kan f├©re til en stored XSS s├Ñrbarhed.

Buscar
Categorías
Leer más
Ciberseguridad
CVE-2026-12866: Análisis Detallado y Medidas de Protección contra Ejecución de Código JavaScript No Autorizado
CVE-2026-12866: Análisis Detallado y Medidas de Protección contra Ejecución de Código...
Por Mario Serrano 2026-06-30 04:54:41 0 73
Ciberseguridad
ðùð░ð│ð¥ð╗ð¥ð▓ð¥ð║ (ðúð║ÐÇð░Ðùð¢ÐüÐîð║ð¥ÐÄ ð╝ð¥ð▓ð¥ÐÄ)
ðùð░ð│ð¥ð╗ð¥ð▓ð¥ð║ (ðúð║ÐÇð░Ðùð¢ÐüÐîð║ð¥ÐÄ ð╝ð¥ð▓ð¥ÐÄ)ðíÐâð╝ð░ÐÇð¢ð©ð╣ ð¥ð│ð╗ÐÅð┤...
Por Mario Serrano 2026-06-30 16:20:17 0 8
Otro
CVE-2026-55653: OpenSSH Denegación de Servicio por Doble Liberación (Análisis) - Protección contra vulnerabilidades emergentes
CVE-2026-55653: OpenSSH Denegación de Servicio por Doble Liberación (Análisis) Mantenerse...
Por Mario Serrano 2026-06-30 04:44:53 0 15
Ciberseguridad
Vulnerabilidade CVE-2026-12866 - Detalhes do CVSS, EPSS e KEV | CVE Find (Portuguese (Brazil))
Título: Vulnerabilidade CVE-2026-12866 - Detalhes do CVSS, EPSS e KEV | CVE FindSumárioO...
Por Mario Serrano 2026-06-30 06:47:06 0 9
Otro
Titre (en français)
Titre (en fran├ºais)R├®sum├® (en fran├ºais)Le vuln├®rabilit├® CVE-2026-12866 concerne le package...
Por Mario Serrano 2026-06-30 05:09:45 0 8