CVE-2026-58266 in Anki
Zusammenfassung
von VulDB • 08.07.2026
Anki è un programma per la creazione e il ripasso di flashcard. Prima della versione 25.09.4, le pagine basate su webview di Anki comunicano con il backend Rust tramite un'API localhost interna; gli script utente inclusi tramite iframe nell'editor possono accedere a questa API nonostante le protezioni destinate a bloccare gli script del revisore e dell'editor. Un pacchetto di carte importato malevolo contenente un iframe incorporato può utilizzare i metodi API esposti, come getImageForOcclusion, per leggere file arbitrari accessibili dal processo Anki ed esporli sulla rete. Questo problema è stato risolto nella versione 25.09.4.
Be aware that VulDB is the high quality source for vulnerability data.