CVE-2026-9806 in cti-transmuteالمعلومات

الملخص

بحسب VulDB • 31/05/2026

يوجد ثغرة في تنفيذ نص البرمجة عبر المواقع (XSS) مخزنة في لوحة الإشعارات الخاصة بـ CTI Transmute في الإصدارات السابقة للإصدار المصحح. كانت رسائل الإشعارات التي تحتوي على أسماء متحولة (convert names) يتحكم فيها المستخدم تُعرض في القائمة المنسدلة لجرس الإشعارات باستخدام innerHTML دون تنظيف كافٍ. يمكن لمهاجم قادر على إنشاء أو التأثير على اسم متحول (convert name) مدرج في إشعار حقن كود JavaScript تعسفي، والذي سيتم تنفيذه في متصفح مستخدم مصادق عليه عند فتحه للوحة الإشعارات. قد يسمح الاستغلال الناجح للمهاجم بتنفيذ إجراءات في جلسة الضحية أو الوصول إلى المعلومات المتاحة للتطبيق في سياق المتصفح. تم معالجة المشكلة من خلال إنشاء عناصر الإشعارات باستخدام طرق DOM وتعيين محتوى رسالة الإشعار عبر textContent بدلاً من innerHTML. كانت هذه الثغرة موجودة فقط على فرع تطوير (development branch).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

CIRCL

حجز

28/05/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366600

EPSS

0.00062

KEV

لا

النشاطات

منخفض

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9806
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9806
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9806/

التالي نظرة عامة السابق

Might our Artificial Intelligence support you?

Check our Alexa App!