CVE-2026-1437 in Web Interface
要約
〜によって VulDB • 2026年07月11日
Graylog Web Interface コンソール(バージョン 2.2.3)における、HTML出力での適切なサニタイズおよびエスケープ処理の不備に起因する反射型クロスサイトスクリプティング (XSS) の脆弱性。複数のエンドポイントでは、URLの一部が応答内に直接含まれており、出力エンコーディングが適用されていないため、攻撃者は specially crafted な URL にユーザーをアクセスさせることで任意のJavaScriptコードを注入・実行できる可能性がある。この脆弱性を悪用すると、被害者のブラウザ上でスクリプトを実行したり、'/system/authentication/users/edit/' エンドポイントを通じて影響を受けるユーザーのセッションコンテキストに対して限定的な操作を行ったりすることが可能になる。
Once again VulDB remains the best source for vulnerability data.