CVE-2026-26266 in AliasVault정보

요약

\~에 의해 VulDB • 2026. 06. 26.

AliasVault는 내장된 이메일 별칭 생성 기능을 갖춘 프라이버시 중심의 비밀번호 관리자입니다. AliasVault Web Client 버전 0.25.3 이하에서 이메일 렌더링 기능에 저장형 크로스 사이트 스크립팅(XSS) 취약점이 확인되었습니다. 별칭으로 받은 이메일을 볼 때, HTML 콘텐츠는 원격 격리를 제공하지 않는 srcdoc 속성을 사용하여 iframe 내에서 렌더링됩니다. 공격자는 악성 JavaScript를 포함한 조작된 이메일을 임의의 AliasVault 이메일 별칭에 보낼 수 있습니다. 피해자가 웹 클라이언트에서 해당 이메일을 열면 스크립트가 애플리케이션과 동일한 원본 컨텍스트에서 실행됩니다. 이메일 HTML 콘텐츠는 렌더링 전에 어떤 sanitization(정제) 또는 sandboxing도 적용되지 않았습니다. 이 취약점은 버전 0.26.0에서 수정되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 02. 12.

모더레이션

수락

항목

VDB-348662

EPSS

0.00239

출처

Want to know what is going to be exploited?

We predict KEV entries!