CVE-2026-58266 in Ankiinfo

Zusammenfassung

von VulDB • 08.07.2026

Anki è un programma per la creazione e il ripasso di flashcard. Prima della versione 25.09.4, le pagine basate su webview di Anki comunicano con il backend Rust tramite un'API localhost interna; gli script utente inclusi tramite iframe nell'editor possono accedere a questa API nonostante le protezioni destinate a bloccare gli script del revisore e dell'editor. Un pacchetto di carte importato malevolo contenente un iframe incorporato può utilizzare i metodi API esposti, come getImageForOcclusion, per leggere file arbitrari accessibili dal processo Anki ed esporli sulla rete. Questo problema è stato risolto nella versione 25.09.4.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

29.06.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376719

CPE

bereit

EPSS

0.00169

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!