CVE-2026-47900
ŚrednieCVSS 4.6Streszczenie
Logseq jest podatny na przechowywane ataki XSS. Złośliwy plugin może wprowadzić ładunek JavaScript w polu 'name' pliku 'package.json', co pozwala na wykonanie dowolnego kodu w kontekście uprzywilejowanym.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację Logseq do najnowszej wersji oraz przegląd i weryfikację używanych pluginów pod kątem bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
Logseq is vulnerable to a stored cross-site scripting (XSS). A malicious plugin can include a JavaScript payload in the "name" field of its "package.json" file, which is rendered using "innerHTML" without proper sanitization, allowing the execution of arbitrary code in the privileged host context. While only version v0.10.15 was tested and confirmed as vulnerable, status of other versions is unknown since this issue was not addressed by a patch.

