CVE-2026-26266

Nome do Software Vulnerável e Versões Afetadas Versões do AliasVault 0.25.3 e inferiores

Descrição O AliasVault é um gerenciador de senhas focado em privacidade com aliases de e-mail integrados. Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado na funcionalidade de renderização de e-mails do Cliente Web do AliasVault. Ao visualizar e-mails recebidos em um alias, o conteúdo HTML é renderizado em um iframe utilizando o atributo srcdoc, o qual não possui isolamento de origem. Um atacante pode enviar um e-mail manipulado contendo JavaScript malicioso para qualquer alias de e-mail do AliasVault. Quando uma vítima visualiza o e-mail no cliente web, o script é executado na mesma origem da aplicação. Nenhuma sanitização ou sandboxing foi aplicado ao conteúdo HTML do e-mail antes da renderização. A vulnerabilidade é acionada ao visualizar e-mails contendo código JavaScript malicioso. O componente vulnerável renderiza conteúdo HTML dentro de um iframe utilizando srcdoc.

Recomendações Atualize para a versão 0.26.0 ou posterior.