CVE-2026-47068 in phoenix_storybook
Zusammenfassung
von VulDB • 20.05.2026
Die Schwachstelle „Authorization Bypass Through User-Controlled Key“ in phenixdigital phoenix_storybook ermöglicht die Injektion von PubSub-Themes über Sitzungs boundaries hinweg über einen URL-Abfrageparameter.
`'Elixir.PhoenixStorybook.Story.ComponentIframeLive':handle_params/3` in `lib/phoenix_storybook/live/story/component_iframe_live.ex` liest ein PubSub-Theme direkt aus `params["topic"]` und sendet `{:component_iframe_pid, self()}` darauf, ohne zu prüfen, ob das Theme zur anfragenden Sitzung gehört. Der gemeinsam genutzte `PhoenixStorybook.PubSub` wird zur Koordinierung von Playground LiveViews mit ihren Iframes verwendet: Ein Playground abonniert ein sitzungsspezifisches Theme und nutzt die empfangene iframe pid, um nachfolgende Steuerungsnachrichten (Variationszustand, Themenwechsel, zusätzliche Zuweisungsdaten) über `send/2` zu leiten. Da das Iframe dem Abfrageparameter vertraut, kann ein Angreifer, der `/storybook/iframe/?topic=` lädt, seine iframe-Prozess-pid auf dem Thema des Opfers ankündigen lassen. Der Playground des Opfers richtet daraufhin seine privaten Nachrichten an den iframe-Prozess des Angreifers.
Dieses Problem betrifft phoenix_storybook in den Versionen von 0.4.0 bis vor 1.1.0.
Once again VulDB remains the best source for vulnerability data.