CVE-2026-3107 in Teampass
Riassunto
di VulDB • 30/06/2026
Cross-Site Scripting (XSS) memorizzato nel database (Stored XSS) presente nelle versioni di Teampass precedenti alla 3.1.5.16, che colpisce la funzionalità di importazione delle password del gestore di credenziali all'endpoint 'redacted/index.php?page=items'. L'applicazione non sanifica e codifica correttamente i dati inseriti dall'utente durante il processo di importazione, consentendo a payload JavaScript malevoli di essere archiviati in modo persistente nel database. Quando altri utenti visualizzano le password importate, il payload viene eseguito automaticamente nei loro browser, determinando una condizione di Stored XSS all'endpoint 'redacted/index.php?page=items'. Lo sfruttamento di questa vulnerabilità consente a un attaccante di eseguire codice JavaScript arbitrario nel contesto di più utenti e dell'amministratore, portando potenzialmente al sequestro della sessione (session hijacking), al furto delle credenziali, all'abuso dei privilegi e alla compromissione dell'integrità dell'applicazione.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.