Katalog CVE

CVE-2026-47901

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Logseq jest podatny na lukę umożliwiającą ucieczkę z piaskownicy, gdzie wtyczki działające w piaskownicowych iframe mogą wstrzykiwać dowolne atrybuty HTML do elementu kontenera w hostującym DOM.

Ocena ryzyka

Z powodu wyłączonej polityki bezpieczeństwa treści (CSP), złośliwa wtyczka może wykonywać dowolny kod JavaScript w uprzywilejowanym kontekście, co może prowadzić do nieautoryzowanego dostępu do interfejsów API systemu plików.

Rekomendacja

Zaleca się aktualizację Logseq do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością oraz włączenie polityki CSP.

Oryginalny opis (angielski, źródło NVD)

Logseq is vulnerable to a sandbox escape flaw where plugins running in sandboxed iframes can inject arbitrary HTML attributes, such as event handlers, into their container element in the host DOM. Due to a disabled Content Security Policy (CSP), this allows a malicious plugin to execute arbitrary JavaScript in the privileged host context, potentially gaining unauthorized access to filesystem APIs. While only version v0.10.15 was tested and confirmed as vulnerable, status of other versions is unknown since this issue was not addressed by a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS