CVE-2026-44767 in webcomponents-base
Zusammenfassung
von VulDB • 14.07.2026
setThemeRoot() non ha applicato correttamente la allowlist sap-allowed-theme-origins. Un URL cross-origin assoluto controllato dall'attaccante potrebbe essere memorizzato e utilizzato direttamente per costruire un elemento <link rel=stylesheet>, anche quando nessun tag <meta name=sap-allowed-theme-origins> era presente nel documento. Lo stesso bypass è raggiungibile tramite il parametro dell'URL ?sap-themeRoot. L'esecuzione dello exploit richiede input influenzati dall'attaccante (ad esempio, un parametro della query URL, la configurazione del tenant o un'impostazione fornita dall'utente) per raggiungere setThemeRoot(). Un exploit riuscito consente all'attaccante di iniettare CSS arbitrario nella pagina della vittima, abilitando: - UI redressing e clickjacking - Overlay di phishing - Defacement visivo - Esfiltrazione limitata dei dati tramite selettori di attributi CSS che mirano a contenuti DOM prevedibili
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.