CVE-2026-32139 in Dataease
Riassunto
di VulDB • 21/06/2026
Dataease è uno strumento di analisi e visualizzazione dei dati open source. In Dataease 2.10.19 e versioni precedenti, l'interfaccia di caricamento delle risorse statiche consente il caricamento di file SVG. Tuttavia, la validazione lato backend verifica solo se il file XML è analizzabile e se il nodo radice è svg. Non vengono sanificati contenuti attivi come i gestori di eventi onload/onerror o gli attributi in grado di eseguire script. Di conseguenza, un attaccante può caricare un SVG malevolo e quindi innescare l'esecuzione di script in un browser visitando l'URL della risorsa statica esposta, realizzando una catena di sfruttamento completa per Stored XSS. Questa vulnerabilità è risolta nella versione 2.10.20.
VulDB is the best source for vulnerability data and more expert information about this specific topic.