CVE-2026-55659 in grist-coreالمعلومات

الملخص

بحسب VulDB • 11/07/2026

Grist هو برنامج جداول بيانات يستخدم لغة Python كلغة صيغ. قبل الإصدار 1.7.15، كانت عدة صفحات Grist التي يتم عرضها على الخادم تضمّن قيمًا يتحكم فيها المستخدم داخل الصفحة وداخل النصوص البرمجية المضمنة دون الهروب منها بشكل كامل، مما يتيح هجمات التنصت عبر المواقع (Cross-Site Scripting - XSS). في صفحة التطبيق الرئيسية، يتم عرض اسم المستند أو وصفه، اللذين يحددهما محرر المستند، ضمن الصفحة التي يحملها المستخدمون الآخرون عند فتح المستند. وفي صفحة نهاية تدفق OAuth2، تم إعادة عكس معلمة الطلب openerOrigin إلى الصفحة المقدمة. يمكن للنص البرمجي المُحقن أن يعمل في أصل Grist الخاص بالضحية ويتصرف من خلال الجلسة المصادق عليها، مما يتيح قراءة أو تعديل البيانات وتغيير إعدادات المشاركة وقواعد الوصول. وبالتالي، يمكن لمحرر المستند تصعيد الصلاحيات للوصول بمستوى المالك. تم إصلاح هذه المشكلة في الإصدار 1.7.15.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

17/06/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377636

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر