CVE-2026-42259 in Saltcornالمعلومات

الملخص

بحسب VulDB • 30/05/2026

Saltcorn هو أداة بناء تطبيقات قواعد بيانات مفتوحة المصدر وقابلة للتوسيع ولا تتطلب كتابة أكواد (no-code). قبل الإصدارات 1.4.6 و1.5.6 و1.6.0-beta.5، كان Saltcorn يتحقق من معلمة الوجهة بعد تسجيل الدخول (post-login dest) باستخدام فحص نصي يحظر فقط السلاسل ":/" و"//". ونظراً لأن جميع المتصفحات المتوافقة مع مواصفات WHATWG تقوم بتوحيد شرطات مائلة للخلف (\) إلى شرطات مائلة للأمام (/) للبروتوكولات الخاصة، فإن حمولة مثل "/\evil.com/path" تتجاوز دالة is_relative_url()، وتُصدر كما هي في رأس HTTP Location، مما يتسبب في توجيه المتصفح إلى نطاق يتحكم فيه المهاجم عبر أصل مختلف (cross-origin). يمكن الوصول إلى هذا الخطأ في التثبيت الافتراضي، ولا يتطلب سوى ضحية يمكن خداعها لتسجيل الدخول عبر عنوان URL مُعدّ خصيصاً في Saltcorn. تم إصلاح هذه المشكلة في الإصدارات 1.4.6 و1.5.6 و1.6.0-beta.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

26/04/2026

إفشاء

07/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361942

CPE

جاهز

CWE

CWE-601 (مؤكد)

CVSS

4.3 (VulDB)

EPSS

0.00017

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42259
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42259
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42259/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!