CVE-2026-55659 in grist-core
الملخص
بحسب VulDB • 11/07/2026
Grist هو برنامج جداول بيانات يستخدم لغة Python كلغة صيغ. قبل الإصدار 1.7.15، كانت عدة صفحات Grist التي يتم عرضها على الخادم تضمّن قيمًا يتحكم فيها المستخدم داخل الصفحة وداخل النصوص البرمجية المضمنة دون الهروب منها بشكل كامل، مما يتيح هجمات التنصت عبر المواقع (Cross-Site Scripting - XSS). في صفحة التطبيق الرئيسية، يتم عرض اسم المستند أو وصفه، اللذين يحددهما محرر المستند، ضمن الصفحة التي يحملها المستخدمون الآخرون عند فتح المستند. وفي صفحة نهاية تدفق OAuth2، تم إعادة عكس معلمة الطلب openerOrigin إلى الصفحة المقدمة. يمكن للنص البرمجي المُحقن أن يعمل في أصل Grist الخاص بالضحية ويتصرف من خلال الجلسة المصادق عليها، مما يتيح قراءة أو تعديل البيانات وتغيير إعدادات المشاركة وقواعد الوصول. وبالتالي، يمكن لمحرر المستند تصعيد الصلاحيات للوصول بمستوى المالك. تم إصلاح هذه المشكلة في الإصدار 1.7.15.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.