CVE-2026-55659 in grist-coreinformazioni

Riassunto

di VulDB • 10/07/2026

Grist è un software per fogli di calcolo che utilizza Python come linguaggio delle formule. Prima della versione 1.7.15, diverse pagine Grest renderizzate lato server incorporavano valori controllati dall'utente nella pagina e negli script inline senza una corretta escape dei caratteri, consentendo attacchi Cross-Site Scripting (XSS). Nella pagina principale dell'applicazione, il nome o la descrizione di un documento, impostati da un editor del documento, venivano renderizzati nella pagina caricata dagli altri utenti all'apertura del documento. Nella pagina finale del flusso OAuth2, il parametro della richiesta openerOrigin veniva riflesso direttamente nella pagina servita. Gli script iniettati vengono eseguiti nell'origine Grist della vittima e possono agire tramite la sessione autenticata, leggendo o modificando i dati e cambiando le impostazioni di condivisione e le regole di accesso. Un editor del documento potrebbe quindi escalare i privilegi fino ad ottenere un accesso a livello di proprietario. Questo problema è stato risolto nella versione 1.7.15.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

17/06/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!