Plattform
nodejs
Komponente
emissary
Behoben in
8.39.1
CVE-2026-35571 affects Emissary, a P2P workflow engine, where improperly validated Mustache navigation templates permit the injection of javascript: URIs into href attributes. This allows an administrator with configuration modification privileges to execute malicious scripts against other authenticated users accessing the Emissary web interface. The vulnerability impacts versions 0.0.0 through 8.38.9, but a patch is available in version 8.39.0.
CVE-2026-35571 betrifft Emissary, eine P2P-basierte, datengesteuerte Workflow-Engine. Vor Version 8.39.0 interpolierte Emissary direkt link-Werte, die durch die Konfiguration gesteuert werden, in 'href'-Attributen mithilfe von Mustache-Navigationsvorlagen, ohne eine ordnungsgemäße URL-Schema-Validierung durchzuführen. Dies bedeutet, dass ein Administrator, der die 'navItems'-Konfiguration ändern kann, 'javascript:'-URIs injizieren könnte, was ein gespeichertes Cross-Site Scripting (XSS) gegen andere authentifizierte Benutzer ermöglicht, die die Emissary-Weboberfläche anzeigen. Die CVSS-Punktzahl für diese Schwachstelle beträgt 4,8. Die Ursache liegt in einem Mangel an Eingabevalidierung, der die Ausführung von bösartigem Code im Kontext des Browsers des Benutzers ermöglicht.
Ein Angreifer müsste Zugriff haben, um die 'navItems'-Konfiguration von Emissary zu ändern. Dies könnte erreicht werden, wenn der Angreifer das Konto eines Administrators kompromittiert oder eine Schwachstelle im Konfigurationsmanagementsystem gefunden hat. Sobald der Angreifer die Konfiguration geändert hat, kann er ein bösartiges Skript in einen Navigationslink injizieren. Wenn ein anderer authentifizierter Benutzer auf diesen Link klickt, wird das Skript in seinem Browser ausgeführt, wodurch der Angreifer Cookies stehlen, den Benutzer auf eine bösartige Website umleiten oder andere bösartige Aktionen im Namen des Benutzers durchführen kann.
Exploit-Status
EPSS
0.03% (8% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-35571 ist das Upgrade von Emissary auf Version 8.39.0 oder höher. Diese Version enthält eine URL-Schema-Validierung, um die Injektion von 'javascript:'-URIs in 'href'-Attribute zu verhindern. Es wird außerdem empfohlen, die Zugriffskontrollen für die 'navItems'-Konfiguration zu überprüfen und zu verstärken, um zu begrenzen, wer sie ändern kann. Die Implementierung einer Content Security Policy (CSP) kann ebenfalls dazu beitragen, die Auswirkungen eines potenziellen XSS-Angriffs zu mildern, auch wenn das Upgrade nicht sofort angewendet werden kann. Die regelmäßige Überwachung der Emissary-Protokolle auf verdächtige Aktivitäten ist ebenfalls eine gute Sicherheitspraxis.
Actualice a la versión 8.39.0 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para prevenir la inyección de javascript: URIs en los atributos href de las plantillas de navegación.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitsschwachstelle, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Wenn Sie eine Version von Emissary vor 8.39.0 verwenden, sind Sie wahrscheinlich betroffen. Überprüfen Sie Ihre aktuelle Version und aktualisieren Sie diese so schnell wie möglich.
Die 'navItems'-Konfiguration definiert die Navigationselemente, die in der Emissary-Weboberfläche angezeigt werden.
Eine Content Security Policy (CSP) ist eine zusätzliche Sicherheitsebene, die es Administratoren ermöglicht, die Ressourcen zu steuern, die der Browser für eine Webseite laden darf.
Die Implementierung einer Content Security Policy (CSP) kann dazu beitragen, das Risiko zu mindern, obwohl dies keine vollständige Lösung ist. Es wird auch empfohlen, die 'navItems'-Konfiguration sorgfältig zu überprüfen und den Zugriff darauf zu beschränken.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.