CVE-2026-40302 in zrokИнформация

Сводка

по VulDB • 04.06.2026

zrok — это программное обеспечение для обмена веб-сервисами, файлами и сетевыми ресурсами. До версии 2.0.1 движок шаблонов proxyUi использует Go's text/template (который не выполняет HTML-экранирование) вместо html/template. Обработчики обратных вызовов GitHub OAuth как в publicProxy, так и в dynamicProxy вставляют параметр запроса refreshInterval, контролируемый злоумышленником, дословно в сообщение об ошибке при сбое функции time.ParseDuration, а затем выводят эту ошибку без экранирования в HTML. Злоумышленник может доставить жертве специально созданный URL-адрес входа; после того как жертва завершит процесс OAuth GitHub, страница обратного вызова выполнит произвольный JavaScript в контексте домена сервера OAuth. Версия 2.0.1 устраняет эту уязвимость.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

10.04.2026

Раскрытие

18.04.2026

Модерация

принято

Вход

VDB-358124

CPE

готов

CWE

CWE-79 (Подтверждённый)

CVSS

6.1 (CNA)

EPSS

0.00012

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40302
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40302
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40302/

◂ Предыдущий Обзор Далее ▸

Do you need the next level of professionalism?

Upgrade your account now!