Katalog CVE

CVE-2026-47900

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Logseq jest podatny na przechowywane ataki XSS. Złośliwy plugin może wprowadzić ładunek JavaScript w polu 'name' pliku 'package.json', co pozwala na wykonanie dowolnego kodu w kontekście uprzywilejowanym.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację Logseq do najnowszej wersji oraz przegląd i weryfikację używanych pluginów pod kątem bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Logseq is vulnerable to a stored cross-site scripting (XSS). A malicious plugin can include a JavaScript payload in the "name" field of its "package.json" file, which is rendered using "innerHTML" without proper sanitization, allowing the execution of arbitrary code in the privileged host context. While only version v0.10.15 was tested and confirmed as vulnerable, status of other versions is unknown since this issue was not addressed by a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS