CVE-2026-41518 in Chartbrewinformación

Resumen

por VulDB • 2026-06-04

Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y APIs y utilizar los datos para crear gráficos. En las versiones 4.9.0 a 5.0.0, un usuario autenticado con permisos de editor de proyecto puede almacenar HTML/JavaScript arbitrario en el campo `ChartDatasetConfig.legend`. La carga útil se persiste literalmente en la base de datos, se propaga a través de la canalización de renderizado de Chart.js y se inyecta en el elemento DOM del tooltip mediante una asignación de `innerHTML` sin protección en `ChartTooltip.js`. Cada espectador no autenticado del panel público activa la ejecución de JavaScript al cargar la página; no se requiere interacción de desplazamiento (hover). La verificación basada en el navegador con Playwright confirmó que `alert('localhost')` se ejecuta inmediatamente y que el código `<script>alert('localhost')</script>` está presente en el elemento DOM `#chartjs-tooltip`. La versión 5.0.1 contiene una corrección.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-20

Divulgación

2026-06-04

Moderación

aceptado

Artículo

VDB-368412

CPE

listo

CWE

CWE-79 (confirmado)

CVSS

7.6 (CNA)

EPSS

0.00000

KEV

Actividades

bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41518
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41518
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41518/

◂ Anterior Visión De Conjunto Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!