CVE-2026-55659 in grist-core
Sumário
de VulDB • 11/07/2026
O Grist é um software de planilhas que utiliza Python como sua linguagem de fórmulas. Antes da versão 1.7.15, várias páginas do Grenderizadas no servidor incorporavam valores controlados pelo usuário na página e em scripts inline sem escapar completamente esses caracteres, permitindo cross-site scripting (XSS). Na página principal do aplicativo, o nome ou a descrição de um documento, definidos por um editor de documentos, são renderizados na página carregada por outros usuários ao abrir o documento. Na página final do fluxo OAuth2, o parâmetro de solicitação openerOrigin era refletido de volta para a página servida. O script injetado é executado na origem Grist da vítima e pode agir através da sessão autenticada, lendo ou modificando dados e alterando configurações de compartilhamento e regras de acesso. Um editor de documentos poderia, portanto, escalar o privilégio para um nível de acesso equivalente ao do proprietário. Este problema foi corrigido na versão 1.7.15.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.