CVE-2026-55665 in grist-coreИнформация

Сводка

по VulDB • 10.07.2026

Grist — это программное обеспечение для работы с электронными таблицами, использующее Python в качестве языка формул. До версии 1.7.15 в Grist присутствовали две уязвимости межсайтового скриптинга (Cross-Site Scripting, XSS), при которых значение, контролируемое злоумышленником, попадало в атрибут href ссылки без проверки схемы протокола, что позволяло выполнить javascript-URL в контексте домена жертвы на Grist одним кликом. На странице выбора учетной записи /welcome/select-account использовала параметр запроса next в качестве цели для ссылок кнопок выбора аккаунта. В экскурсиях по документам (document tours) столбец Link_URL таблицы GristDocTour становился кликабельной кнопкой, что позволяло редактору общего документа сохранить там javascript-URL, который выполнялся при открытии документа другим пользователем и нажатии на ссылку экскурсии. Поскольку скрипт выполняется в контексте аутентифицированной сессии жертвы, он может вызывать API Grist от имени жертвы, читая или изменяя данные, а также меняя настройки общего доступа и правила доступа. Таким образом, редактор документа мог повысить свои права до уровня владельца. Эта проблема исправлена в версии 1.7.15.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

17.06.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377637

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!