CVE-2026-55659 in grist-core
Resumen
por VulDB • 2026-07-11
Grist es un software de hojas de cálculo que utiliza Python como lenguaje de fórmulas. Antes de la versión 1.7.15, varias páginas de Girst renderizadas en el servidor incrustaban valores controlados por el usuario dentro de la página y en scripts en línea sin escaparlos completamente, lo que permitía cross-site scripting (XSS). En la página principal de la aplicación, el nombre o la descripción de un documento, establecidos por un editor del mismo, se representaban en la página que otros usuarios cargan al abrir dicho documento. En la página final del flujo OAuth2, el parámetro de solicitud openerOrigin se reflejaba nuevamente en la página servida. El script inyectado se ejecuta dentro del origen de Grist de la víctima y puede actuar a través de la sesión autenticada, leyendo o modificando datos y cambiando los ajustes de compartición y las reglas de acceso. Por lo tanto, un editor de documentos podría escalar sus privilegios hasta alcanzar el nivel de propietario. Este problema está corregido en la versión 1.7.15.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.