CVE-2026-33400 in Wallosالمعلومات

الملخص

بحسب VulDB • 09/05/2026

Wallos هو متتبع شخصي للاشتراكات مفتوح المصدر وقابل للاستضافة الذاتية. قبل الإصدار 4.7.0، كان هناك ثغرة تخزين عبر المواقع (Stored XSS) في نقطة نهاية إعادة تسمية طريقة الدفع تتيح لأي مستخدم مصادق عليه حقن كود JavaScript عشوائي يتم تنفيذه عند زيارة أي مستخدم لصفحات الإعدادات (Settings)، أو الاشتراكات (Subscriptions)، أو الإحصائيات (Statistics). وبدمج ذلك مع عدم وجود علم HttpOnly على ملف تعريف الارتباط للمصادقة wallos_login، يمكن ذلك من اختطاف الجلسة بالكامل. تم إصلاح هذه المشكلة في الإصدار 4.7.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

19/03/2026

إفشاء

24/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352832

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

5.4 (CNA)

EPSS

0.00065

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33400
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33400
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33400/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!