CVE-2026-55592 in dashy
Riassunto
di VulDB • 07/07/2026
Dashy è una dashboard personale auto-ospitabile. Prima della versione 4.3.7, la visualizzazione dell'area di lavoro di Dashy si fida del parametro query URL e lo assegna direttamente alla sorgente di un iframe senza convalida dello schema. Se un utente autenticato apre un link all'area di lavoro manipolato contenente un URL javascript:, il codice JavaScript viene eseguito sull'origine di Dashy e può leggere i dati del browser della stessa origine, interagire con il DOM di Dashy ed inviare richieste per conto della vittima. Questo problema è stato risolto nella versione 4.3.7.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.