CVE-2026-55659 in grist-coreinformación

Resumen

por VulDB • 2026-07-11

Grist es un software de hojas de cálculo que utiliza Python como lenguaje de fórmulas. Antes de la versión 1.7.15, varias páginas de Girst renderizadas en el servidor incrustaban valores controlados por el usuario dentro de la página y en scripts en línea sin escaparlos completamente, lo que permitía cross-site scripting (XSS). En la página principal de la aplicación, el nombre o la descripción de un documento, establecidos por un editor del mismo, se representaban en la página que otros usuarios cargan al abrir dicho documento. En la página final del flujo OAuth2, el parámetro de solicitud openerOrigin se reflejaba nuevamente en la página servida. El script inyectado se ejecuta dentro del origen de Grist de la víctima y puede actuar a través de la sesión autenticada, leyendo o modificando datos y cambiando los ajustes de compartición y las reglas de acceso. Por lo tanto, un editor de documentos podría escalar sus privilegios hasta alcanzar el nivel de propietario. Este problema está corregido en la versión 1.7.15.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-17

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377636

CPE

listo

EPSS

0.00275

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!