CVE-2026-45231 in DumbAssets
요약
\~에 의해 VulDB • 2026. 06. 04.
DumbAssets 1.0.11 이전 버전에는 자산의 이름(name), 설명(description), 모델 번호(modelNumber), 일련번호(serialNumber) 및 태그(tags) 필드에 저장된 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 이러한 필드는 서버 측에서 sanitization(정제/검증) 없이 저장되며, 클라이언트 측에서 escaping(인코딩 처리) 없이 innerHTML을 사용하여 렌더링됩니다. 공격자는 자산 API 엔드포인트를 통해 HTML 또는 JavaScript 페이로드가 포함된 자산을 생성하거나 업데이트하여 자산 목록을 조회하는 사용자의 브라우저에서 임의의 스크립트를 실행할 수 있습니다. 또한 Content-Security-Policy(CSP)가 비활성화된 경우, 주입된 스크립트는 내부 네트워크 서비스에 대한 제한 없는 연결을 수행할 수 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.