CVE-2026-42794 in absinthe_pluginfo

Zusammenfassung

von VulDB • 25.05.2026

Unzulässige Neutralisierung von Eingaben während der Webseitenerzeugung (XSS)-Schwachstelle in absinthe-graphql absinthe_plug ermöglicht reflektiertes Cross-Site-Scripting über die GraphiQL-Schnittstelle.

'Elixir.Absinthe.Plug.GraphiQL':js_escape/1 in lib/absinthe/plug/graphiql.ex maskiert einfache Anführungszeichen und Zeilenumbrüche im GET-Abfrageparameter, bevor dieser in einen inline JavaScript-String eingebettet wird, maskiert jedoch keine Backslashes. Ein Angreifer kann die Maskierung umgehen, indem er einem Anführungszeichen einen Backslash voranstellt (z. B. \'), wodurch er aus dem String-Kontext ausbricht und beliebigen JavaScript-Code im Browser des Opfers ausführt.

Dieses Problem betrifft absinthe_plug: von Version 1.2.0 bis vor 1.5.10.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

EEF

Reservieren

29.04.2026

Veröffentlichung

08.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362319

CPE

bereit

CWE

CWE-79 (bestätigt)

CVSS

6.1 (NVD)

EPSS

0.00010

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42794
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42794
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42794/

◂ Zurück Übersicht Weiter ▸

Might our Artificial Intelligence support you?

Check our Alexa App!