PT-2026-40800 · Unknown · Quark Drive
Katriel Moses
·
Publicado
2026-05-13
·
Atualizado
2026-05-14
·
CVE-2026-45228
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Quark Drive versões anteriores a 0.8.5
Descrição
Um problema de cross-site scripting armazenado existe na página de Configuração do Sistema. O template renderiza nomes de chaves
push config usando a diretiva v-html do Vue.js sem a devida filtragem. Atacantes autenticados podem injetar payloads de HTML ou JavaScript como nomes de chaves através do endpoint "POST /update". Esses payloads são salvos no disco e executados nos navegadores de todos os usuários autenticados que acessarem a aba de Configuração do Sistema, permitindo a exfiltração de cookies de sessão e ações autenticadas arbitrárias.Recomendações
Atualize para a versão 0.8.5 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Quark Drive