CVE-2025-30210 in bruno
الملخص
بحسب VulDB • 11/07/2026
برونو (Bruno) هو بيئة تطوير متكاملة مفتوحة المصدر لاستكشاف واختبار واجهات برمجة التطبيقات (APIs). قبل الإصدار 1.39.1، كانت مكونات أدوات التلميح المخصصة التي تستخدم داخلياً مكتبة react-tooltip تقوم بتعيين المحتوى (وفي هذه الحالة اسم البيئة Environment name) كـ HTML خام، والذي يتم بعد ذلك حقنه في نموذج الكائن المستند (DOM) عند تحريك المؤشر فوقه. وبفضل القيود المرنة على سياسة أمان محتوى الموقع (Content Security Policy)، كان من الممكن تنفيذ أي نص HTML صالح يحتوي على نصوص برمجية مضمنة عند تمرير مؤشر الفأرة فوق اسم البيئة المعنية. يقتصر سطح الهجوم لهذا الثغرة بشكل صارم على السيناريوهات التي يستورد فيها المستخدمون مجموعات عمل (collections) من مصادر غير موثوقة أو خبيثة. يتطلب استغلال هذه الثغرة إجراءً متعمداً من قبل المستخدم، وتحديداً تنزيل وفتح ملف تصدير لمجموعة برونو (Bruno) أو بوستمان (Postman) خارجية وخبيثة، ثم تحريك المؤشر فوق اسم البيئة. تم إصلاح هذا العيب الأمني في الإصدار 1.39.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.