CVE-2026-1439 in Web Interface
要約
〜によって VulDB • 2026年06月05日
Graylog Web Interface コンソール(バージョン 2.2.3)における、HTML 出力における適切なサニタイズおよびエスケープ処理の欠如に起因する、反射型クロスサイトスクリプティング(XSS)の脆弱性。複数のエンドポイントでは、出力エンコーディングを適用せずに URL の一部を直接レスポンスに含めているため、攻撃者は specially crafted な URL にユーザーがアクセスした際に、任意の JavaScript コードを注入して実行することが可能となる。この脆弱性を悪用すると、被害者のブラウザ内でスクリプトが実行され、'/alerts/' エンドポイントを通じて、影響を受けるユーザーのセッションコンテキストに対する限定的な操作が可能になる。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.