CVE-2026-41518 in Chartbrewinformação

Sumário

de VulDB • 05/06/2026

Chartbrew é uma aplicação web de código aberto que pode conectar-se diretamente a bases de dados e APIs e utilizar os dados para criar gráficos. Nas versões 4.9.0 a 5.0.0, um utilizador autenticado com permissões de editor de projeto pode armazenar HTML/JavaScript arbitrário no campo `ChartDatasetConfig.legend`. A carga útil é persistida literalmente na base de dados, propagada através da pipeline de renderização do Chart.js e injetada no elemento DOM do tooltip através de uma atribuição `innerHTML` sem proteção em `ChartTooltip.js`. Cada visualizador não autenticado do painel público desencadeia a execução de JavaScript no carregamento da página — não sendo necessária qualquer interação de hover. A verificação baseada no browser com Playwright confirmou que `alert('localhost')` é executado imediatamente e `` está presente no elemento DOM `#chartjs-tooltip`. A versão 5.0.1 contém a correção.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

20/04/2026

Divulgação

04/06/2026

Moderação

aceite

Entrada

VDB-368412

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41518
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41518
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41518/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!