CVE-2026-45228
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
Quark Drive przed wersją 0.8.5 zawiera podatność na trwały atak XSS na stronie konfiguracji systemu. Szablon renderuje nazwy kluczy push_config za pomocą dyrektywy v-html bez odpowiedniego kodowania, co pozwala uwierzytelnionym atakującym na wstrzyknięcie złośliwego HTML lub JavaScript przez endpoint POST /update. Wstrzyknięty kod jest zapisywany na dysku i wykonywany w przeglądarkach wszystkich uwierzytelnionych użytkowników odwiedzających zakładkę konfiguracji systemu.
Ocena ryzyka
Ryzyko obejmuje kradzież ciasteczek sesji i wykonywanie dowolnych działań w kontekście uwierzytelnionego użytkownika, co może prowadzić do przejęcia konta i eskalacji uprawnień w systemie.
Rekomendacja
Należy natychmiast zaktualizować Quark Drive do wersji 0.8.5 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo zaleca się ograniczenie dostępu do endpointu POST /update tylko dla zaufanych administratorów.
Oryginalny opis (angielski, źródło NVD)
Quark Drive before 0.8.5 contains a stored cross-site scripting vulnerability in the System Configuration page where the template renders push_config key names using Vue.js's v-html directive without escaping. Authenticated attackers can inject HTML or JavaScript payloads as key names through the POST /update endpoint, which are persisted to disk and executed in the browsers of all authenticated users accessing the System Configuration tab, allowing session cookie exfiltration and arbitrary authenticated actions.

