Katalog CVE

CVE-2026-45228

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 - wyżej niż 8% wszystkich znanych CVE

Streszczenie

Quark Drive przed wersją 0.8.5 zawiera podatność na trwały atak XSS na stronie konfiguracji systemu. Szablon renderuje nazwy kluczy push_config za pomocą dyrektywy v-html bez odpowiedniego kodowania, co pozwala uwierzytelnionym atakującym na wstrzyknięcie złośliwego HTML lub JavaScript przez endpoint POST /update. Wstrzyknięty kod jest zapisywany na dysku i wykonywany w przeglądarkach wszystkich uwierzytelnionych użytkowników odwiedzających zakładkę konfiguracji systemu.

Ocena ryzyka

Ryzyko obejmuje kradzież ciasteczek sesji i wykonywanie dowolnych działań w kontekście uwierzytelnionego użytkownika, co może prowadzić do przejęcia konta i eskalacji uprawnień w systemie.

Rekomendacja

Należy natychmiast zaktualizować Quark Drive do wersji 0.8.5 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo zaleca się ograniczenie dostępu do endpointu POST /update tylko dla zaufanych administratorów.

Oryginalny opis (angielski, źródło NVD)

Quark Drive before 0.8.5 contains a stored cross-site scripting vulnerability in the System Configuration page where the template renders push_config key names using Vue.js's v-html directive without escaping. Authenticated attackers can inject HTML or JavaScript payloads as key names through the POST /update endpoint, which are persisted to disk and executed in the browsers of all authenticated users accessing the System Configuration tab, allowing session cookie exfiltration and arbitrary authenticated actions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS