CVE-2026-55659 in grist-core정보

요약

\~에 의해 VulDB • 2026. 07. 10.

Grist는 수식 언어로 Python을 사용하는 스프레드시트 소프트웨어입니다. 버전 1.7.15 이전에는 여러 서버 렌더링 Grist 페이지가 사용자 제어 값을 완전히 이스케이프 처리하지 않고 페이지 및 인라인 스크립트에 임베딩하여 크로스 사이트 스크립팅(XSS)이 가능했습니다. 메인 애플리케이션 페이지에서는 문서 편집자가 설정한 문서 이름이나 설명이 다른 사용자가 문서를 열 때 로드되는 페이지에 렌더링됩니다. OAuth2 플로우 종료 페이지에서 openerOrigin 요청 파라미터가 제공된 페이지로 반사되었습니다. 주입된 스크립트는 피해자의 Grist 오리진에서 실행되어 인증된 세션을 통해 동작하며, 데이터를 읽거나 수정하고 공유 설정 및 접근 규칙을 변경할 수 있습니다. 따라서 문서 편집자는 소유자 수준의 액세스 권한으로 승격될 수 있습니다. 이 문제는 버전 1.7.15에서 해결되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 17.

모더레이션

수락

항목

VDB-377636

EPSS

0.00000

출처

Might our Artificial Intelligence support you?

Check our Alexa App!