CVE-2026-11569

Nome do Software Vulnerável e Versões Afetadas Quay (versões afetadas não especificadas)

Descrição Uma falha existe no endpoint 'filedrop' que aceita qualquer tipo mime sem validação. Isso permite que um usuário autenticado com acesso de escrita ao repositório faça o upload de um arquivo SVG malicioso contendo JavaScript. Como o arquivo é armazenado e servido inline através da CDN, isso possibilita o cross-site scripting (XSS) armazenado, uma técnica onde um script malicioso é permanentemente armazenado no servidor alvo e executado quando uma vítima visita a URL do arquivo.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.