Plataforma
other
Componente
dbdb
Corregido en
1.11.1
1.11.2
1.11.3
1.11.4
1.11.5
1.11.6
1.11.7
1.11.8
1.11.9
1.11.10
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en questdb ui hasta la versión 1.11.9. Esta falla afecta a una función desconocida de la consola web, permitiendo a un atacante ejecutar código malicioso en el navegador de un usuario. Las versiones afectadas son 1.11.0 a 1.11.9. La solución recomendada es actualizar a la versión 1.1.10, donde se ha corregido la vulnerabilidad.
La vulnerabilidad XSS en questdb ui permite a un atacante inyectar scripts maliciosos en las páginas web de la consola. Esto podría resultar en el robo de credenciales de usuario, la modificación de datos, o la redirección a sitios web maliciosos. Dado que existe un Proof of Concept (PoC) público, la probabilidad de explotación es alta. Un atacante podría, por ejemplo, inyectar un script que robe las cookies de sesión de un administrador, permitiéndole acceder a la consola con privilegios elevados. La severidad, aunque clasificada como baja, se ve agravada por la disponibilidad pública del PoC.
La vulnerabilidad CVE-2026-0824 ha sido divulgada públicamente y existe un Proof of Concept (PoC) disponible, lo que aumenta significativamente el riesgo de explotación. La vulnerabilidad no se encuentra en el KEV de CISA al momento de esta redacción. La disponibilidad del PoC sugiere que los atacantes pueden comenzar a explotar esta vulnerabilidad en un corto plazo. La fecha de publicación del CVE es 2026-01-10.
Organizations utilizing QuestDB UI in production environments, particularly those running versions 1.11.0 through 1.11.9, are at risk. Shared hosting environments where multiple users share the same QuestDB instance are especially vulnerable, as an attacker could potentially compromise the entire system through a single user's session.
• generic web: Use curl to test for XSS vulnerabilities in the Web Console. Try injecting <script>alert(1)</script> into various input fields and observe the response.
curl -X POST -d '<script>alert(1)</script>' <web_console_url>• generic web: Examine access and error logs for suspicious patterns related to script injection attempts. • generic web: Review response headers for any unusual content or modifications that might indicate XSS activity.
disclosure
poc
patch
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-0824 es actualizar questdb ui a la versión 1.1.10 o superior. Si la actualización a la versión 1.1.10 causa problemas de compatibilidad, se recomienda evaluar la posibilidad de actualizar a QuestDB 9.3.0, donde también se incluye la corrección. Como medida temporal, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para filtrar las solicitudes que contengan patrones de inyección XSS. Es crucial revisar y validar todas las entradas de usuario en la consola web para prevenir futuras vulnerabilidades.
Actualice questdb ui a la versión 1.1.10 o superior. La actualización corrige una vulnerabilidad de Cross-Site Scripting (XSS) en la consola web. Alternativamente, puede actualizar a QuestDB 9.3.0, que también incluye la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0824 is a cross-site scripting (XSS) vulnerability affecting QuestDB UI versions 1.11.0 through 1.11.9, allowing attackers to inject malicious scripts.
If you are running QuestDB UI versions 1.11.0–1.11.9, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade QuestDB UI to version 1.1.10 or later. The fix will also be included in QuestDB 9.3.0.
A public proof-of-concept is available, indicating a high probability of active exploitation.
Refer to the QuestDB security advisory for detailed information and updates: [https://questdb.io/docs/security/advisories](https://questdb.io/docs/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.