Katalog CVE

CVE-2026-7182

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Moduł eksportu diagramów jest podatny na atak typu Path Traversal w atrybucie src z powodu braku sanitizacji HTML. Nieautoryzowany użytkownik może stworzyć ładunek HTML, który może zawierać lokalne pliki z serwera i wyświetlić je w wygenerowanym pliku PDF.

Ocena ryzyka

Atakujący może uzyskać dostęp do poufnych danych znajdujących się na serwerze, co może prowadzić do wycieku informacji i naruszenia bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 1.1.1, w której problem został naprawiony. Dodatkowo warto wdrożyć dodatkowe mechanizmy sanitizacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Diagram's export module is vulnerable to Path Traversal in src attribute due to lack of HTML sanitization. An unauthenticated user could craft the html payload which could include local files from the server and display them in the generated pdf. This issue was fixed in version 1.1.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS