Plataforma
other
Componente
tarkov-data-manager
Corregido en
2.0.1
Se ha identificado una vulnerabilidad de Cross Site Scripting (XSS) reflejado en Tarkov Data Manager, una herramienta para gestionar datos de ítems en el juego Tarkov. Esta vulnerabilidad, presente en versiones anteriores a la 2.0.0, permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario víctima al manipular URLs. La versión 2.0.1 ya incluye una corrección para esta y otras vulnerabilidades.
La vulnerabilidad XSS en Tarkov Data Manager permite a un atacante inyectar código JavaScript malicioso en las notificaciones emergentes (toast notifications). Al engañar a un usuario para que visite una URL especialmente diseñada, el atacante puede ejecutar código en el contexto del navegador de la víctima. Esto podría resultar en el robo de credenciales de inicio de sesión, la manipulación de la interfaz del usuario, la redirección a sitios web maliciosos o incluso el control total de la sesión del usuario. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y al potencial impacto en la seguridad de los datos del usuario.
Esta vulnerabilidad fue publicada el 7 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. No se han encontrado pruebas públicas de PoC (Proof of Concept) disponibles, pero la naturaleza de la vulnerabilidad XSS reflejado la hace relativamente fácil de explotar una vez identificada la entrada vulnerable.
Users of Tarkov Data Manager, particularly those running versions prior to 2.0.1, are at risk. This includes individuals who rely on the tool for managing their Tarkov item data and are susceptible to attacks through malicious URLs.
• windows / supply-chain: Monitor for suspicious PowerShell commands related to Tarkov Data Manager. Check Autoruns for unusual entries.
Get-Process -Name TarkovDataManager | Select-Object -ExpandProperty Path• generic web: Examine access and error logs for requests containing suspicious URL parameters that might be attempting to inject JavaScript code.
grep -i 'script' /var/log/apache2/access.logpatch
disclosure
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Tarkov Data Manager a la versión 2.0.1 o superior, que incluye la corrección. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la revisión y validación exhaustiva de todas las URLs antes de abrirlas. Aunque no hay una solución WAF específica, se puede configurar un WAF para bloquear solicitudes con patrones sospechosos en la URL que podrían indicar un intento de explotación XSS. Verificar que la actualización se haya aplicado correctamente revisando la versión del software después de la instalación.
Actualice a una versión posterior a la 2.0.0. La vulnerabilidad fue corregida en commits del 2 de enero de 2025. Consulte el advisory de seguridad en GitHub para más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-21855 is a critical XSS vulnerability in Tarkov Data Manager versions up to 2.0.0, allowing attackers to execute JavaScript via malicious URLs.
Yes, if you are using Tarkov Data Manager version 2.0.0 or earlier, you are vulnerable to this XSS attack.
Upgrade to Tarkov Data Manager version 2.0.1 or later to resolve this vulnerability. Consider input validation as a temporary measure.
There are currently no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and patching.
Refer to the official Tarkov Data Manager release notes and documentation for details regarding this vulnerability and the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.