Katalog CVE

CVE-2026-13140

NiskieCVSS 1.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Podatność typu Stored Cross-Site Scripting w komponencie Canarytokens firmy Thinkst Applied Research, dotycząca publicznie dostępnego magazynu kluczy API AWS. Anonimowe wykorzystanie wymaga znajomości losowego identyfikatora.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy skrypt, który zostanie wykonany w przeglądarce ofiary uzyskującej dostęp do magazynu kluczy API AWS. Może to prowadzić do kradzieży danych uwierzytelniających, tokenów sesyjnych lub innych wrażliwych informacji.

Rekomendacja

Natychmiast zaktualizować Canarytokens do wersji z commita f5aa5c4e (lub nowszej) lub obrazu Docker z tagiem sha-f5aa5c4e. W przypadku braku możliwości natychmiastowej aktualizacji, ograniczyć dostęp do interfejsu magazynu kluczy API AWS.

Oryginalny opis (angielski, źródło NVD)

Stored Cross-Site Scripting in the exposed AWS API key store of Thinkst Applied Research Canarytokens. Anonymous exploitation requires knowledge of a random identifier. This issue affects Canarytokens: from Docker tag sha-4116b92cb before sha-f5aa5c4e, from Git commit 4116b92cb before f5aa5c4e.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS