CVE-2026-4983
ŚrednieCVSS 4.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Rejestr Open VSX nie sanitizuje plików SVG przesyłanych jako ikony rozszerzeń przed ich zapisaniem, co pozwala na publikację złośliwego rozszerzenia z ikoną SVG. To prowadzi do przechowywanego ataku XSS, gdy użytkownik odwiedza bezpośrednio URL ikony.
Ocena ryzyka
Atakujący może wykonać skrypty w kontekście aplikacji Open VSX, co prowadzi do kradzieży sesji i tokenów uwierzytelniających. W przypadku użycia zewnętrznego magazynu, ryzyko ogranicza się do ataków phishingowych i zbierania danych uwierzytelniających.
Rekomendacja
Zaleca się wprowadzenie sanitizacji plików SVG przed ich zapisaniem oraz dodanie odpowiednich nagłówków bezpieczeństwa, takich jak Content-Security-Policy. Należy również rozważyć ograniczenie możliwości publikacji rozszerzeń przez nieautoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Open VSX Registry does not sanitize SVG files uploaded as extension icons prior to storage, and serves them with Content-Type: image/svg+xml without security headers such as Content-Security-Policy or Content-Disposition: attachment. This allows an attacker to publish an extension with a malicious SVG icon and achieve stored cross-site scripting (XSS) when a user navigates directly to the icon URL. On deployments using local storage, script execution occurs within the Open VSX application origin, enabling session hijacking, authentication token theft, and unauthorized extension publishing. On deployments backed by external storage (such as open-vsx.org with an S3-backed CDN), execution is confined to the storage origin, reducing impact but still permitting phishing attacks and credential harvesting through attacker-crafted pages.

