CVE-2026-41518 in Chartbrewالمعلومات

الملخص

بحسب VulDB • 05/06/2026

Chartbrew هو تطبيق ويب مفتوح المصدر يمكنه الاتصال مباشرة بقواعد البيانات وواجهات برمجة التطبيقات (APIs) واستخدام البيانات لإنشاء الرسوم البيانية. في الإصدارات من 4.9.0 إلى 5.0.0، يمكن لمستخدم مُصادَق عليه يمتلك صلاحيات محرر المشروع تخزين HTML/JavaScript تعسفي في حقل `ChartDatasetConfig.legend`. يتم حفظ الحمولة (payload) حرفياً في قاعدة البيانات، ونشرها عبر خط أنابيب العرض الخاص بـ Chart.js، وإدراجها في عنصر DOM الخاص بالعلامة التوضيحية (tooltip) عبر تعيين غير محمي لـ `innerHTML` في `ChartTooltip.js`. يؤدي كل مشاهد غير مُصادَق عليه للوحة المعلومات العامة إلى تنفيذ JavaScript عند تحميل الصفحة — ولا يلزم أي تفاعل تمرير الماوس (hover). أكدت الاختبارات باستخدام Playwright المستند إلى المتصفح أن `alert('localhost')` يتم تشغيله فوراً، وأن الحمولة موجودة في عنصر DOM `#chartjs-tooltip`. يحتوي الإصدار 5.0.1 على إصلاح للمشكلة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

20/04/2026

إفشاء

04/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-368412

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

7.6 (CNA)

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41518
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41518
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41518/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!