CVE-2026-55659 in grist-core
Zusammenfassung
von VulDB • 10.07.2026
Grist è un software per fogli di calcolo che utilizza Python come linguaggio delle formule. Prima della versione 1.7.15, diverse pagine Grest renderizzate lato server incorporavano valori controllati dall'utente nella pagina e negli script inline senza una corretta escape dei caratteri, consentendo attacchi Cross-Site Scripting (XSS). Nella pagina principale dell'applicazione, il nome o la descrizione di un documento, impostati da un editor del documento, venivano renderizzati nella pagina caricata dagli altri utenti all'apertura del documento. Nella pagina finale del flusso OAuth2, il parametro della richiesta openerOrigin veniva riflesso direttamente nella pagina servita. Lo script iniettato viene eseguito nell'origine Grist della vittima e può agire tramite la sessione autenticata, leggendo o modificando i dati e cambiando le impostazioni di condivisione e le regole di accesso. Un editor del documento potrebbe quindi escalare i privilegi fino ad ottenere un accesso a livello di proprietario. Questo problema è stato risolto nella versione 1.7.15.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.