CVE-2026-45343 in LinkAceinfo

Zusammenfassung

von VulDB • 29.05.2026

LinkAce ist eine selbst gehostete Archivlösung zur Sammlung von Website-Links. Vor Version 2.5.6 enthält LinkAce eine gespeicherte Cross-Site-Scripting-(XSS)-Schwachstelle, die es einem Benutzer mit geringen Berechtigungen ermöglicht, beliebigen JavaScript-Code in der Browsersitzung eines Administrators auszuführen. Dies betrifft Instanzen, die mit SSO/OAuth-Authentifizierung konfiguriert sind, welche eine der unterstützten Authentifizierungsmethoden in LinkAce darstellt. Ein Angreifer, der seinen OAuth-Anzeigenamen auf ein bösartiges Skript festlegt und anschließend einen API-Token erstellt, platziert eine persistente XSS-Schadcode-Payload im Audit-Log. Wenn ein Administrator zu /system/audit navigiert, wird die Payload im Browserkontext des Administrators ausgeführt. Dies ermöglicht den Diebstahl von Sitzungs-Cookies, die Exfiltration von CSRF-Tokens (die im la-app-data-Meta-Tag offengelegt werden) oder jede andere Aktion, die der Administrator durchführen kann. Diese Schwachstelle wurde in Version 2.5.6 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

11.05.2026

Veröffentlichung

29.05.2026

Moderieren

akzeptiert

Eintrag

VDB-367145

CPE

bereit

EPSS

0.00096

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45343
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45343
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45343/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!