Katalog CVE

CVE-2026-57532

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Złośliwa zawartość HTML zawarta w specyfikacji układu PDF mogła zostać wykonana po otwarciu edytora PDF w przeglądarce. Umożliwia to jednemu użytkownikowi backendu wstrzyknięcie JavaScriptu do kontekstu przeglądarki innego użytkownika backendu.

Ocena ryzyka

Ryzyko polega na możliwości wykonania złośliwego kodu JavaScript, co może prowadzić do kradzieży danych lub przejęcia sesji użytkownika. To zagrożenie dotyczy użytkowników backendu, którzy otwierają edytor PDF w przeglądarce.

Rekomendacja

Zaleca się wprowadzenie silniejszej polityki Content-Security-Policy dla stron związanych z edytowaniem PDF, aby zminimalizować ryzyko wstrzyknięcia złośliwego kodu. Należy również przeprowadzić audyt bezpieczeństwa aplikacji backendowej.

Oryginalny opis (angielski, źródło NVD)

Malicious HTML content contained in the layout specification of a PDF ticket or badge layout was executed when the PDF editor is opened in the browser. This could allow one backend user to inject JavaScript into the browser context of another backend user. Due to requirements of the PDF rendering and editing libraries used, this is one of the few pages in our backend that do not have a strong Content-Security-Policy that would render this capability useless for most scenarios.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS