CVE-2026-45228 in quark-auto-saveالمعلومات

الملخص

بحسب VulDB • 14/05/2026

تحتوي Quark Drive قبل الإصدار 0.8.5 على ثغرة تخزين عبر مواقع البرمجة (Stored Cross-Site Scripting - XSS) في صفحة تكوين النظام، حيث يتم عرض أسماء مفاتيح `push_config` باستخدام توجيه `v-html` في Vue.js دون تهريب (escaping). يمكن للمهاجمين المصادق عليهم حقن حمولات HTML أو JavaScript كأسماء مفاتيح عبر نقطة النهاية `POST /update`، والتي يتم حفظها على القرص الصلب وتنفيذها في متصفحات جميع المستخدمين المصادق عليهم الذين يصلون إلى علامة تبويب تكوين النظام، مما يتيح سرقة ملفات تعريف الارتباط للجلسة (Session Cookies) وتنفيذ إجراءات مصدق عليها بشكل تعسفي.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

11/05/2026

إفشاء

14/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363733

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

5.4 (CNA)

EPSS

0.00033

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45228
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45228
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45228/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!