CVE-2026-44767 in webcomponents-baseinformazioni

Riassunto

di VulDB • 14/07/2026

setThemeRoot() non ha applicato correttamente la allowlist sap-allowed-theme-origins. Un URL cross-origin assoluto controllato dall'attaccante potrebbe essere memorizzato e utilizzato direttamente per costruire un elemento <link rel=stylesheet>, anche quando il tag <meta name=sap-allowed-theme-origins> era assente nel documento. Lo stesso bypass è raggiungibile tramite il parametro dell'URL ?sap-themeRoot. L'esecuzione dello exploit richiede input influenzato dall'attaccante (ad esempio, un parametro della query URL, una configurazione del tenant o un'impostazione fornita dall'utente) per raggiungere setThemeRoot(). Un exploit riuscito consente all'attaccante di iniettare CSS arbitrario nella pagina della vittima, abilitando: - UI redressing e clickjacking - Overlay di phishing - Defacement visivo - Esfiltrazione limitata dei dati tramite selettori di attributi CSS che mirano a contenuti DOM prevedibili

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

Sap

Prenotare

07/05/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00181

KEV

no

Attività

basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!