Plataforma
javascript
Componente
aliasvault
Corregido en
0.26.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en AliasVault Web Client, afectando a versiones 0.25.3 y anteriores. Esta falla permite a un atacante inyectar código JavaScript malicioso en correos electrónicos visualizados a través de alias. La ejecución del script ocurre en el mismo contexto que la aplicación, comprometiendo la seguridad de los usuarios. La versión 0.26.0 ya incluye la corrección.
La vulnerabilidad XSS en AliasVault Web Client permite a un atacante enviar un correo electrónico especialmente diseñado a cualquier alias de correo electrónico de AliasVault. Al visualizar este correo electrónico en el cliente web, el script malicioso se ejecuta en el mismo contexto que la aplicación AliasVault. Esto significa que el atacante puede potencialmente robar cookies de sesión, redirigir al usuario a sitios web maliciosos, modificar el contenido de la página web o realizar otras acciones maliciosas en nombre del usuario. La falta de aislamiento de origen en el renderizado de HTML dentro de un iframe (srcdoc) es la causa principal de esta vulnerabilidad, facilitando la inyección de código.
Esta vulnerabilidad fue publicada el 3 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente explotable. La falta de aislamiento de origen es un patrón común en vulnerabilidades XSS, similar a otros casos donde el renderizado de HTML no está debidamente sanitizado. La severidad CRÍTICA indica un alto riesgo de explotación.
Users of AliasVault Web Client, particularly those who rely on email aliasing for privacy, are at risk. Shared hosting environments where multiple users share the same AliasVault instance are especially vulnerable, as a compromised alias could potentially impact other users on the same server. Users who frequently open emails from unknown or untrusted senders are also at higher risk.
• javascript: Inspect AliasVault Web Client's JavaScript code for unsanitized HTML rendering within the email viewing functionality. Look for patterns involving srcdoc attributes in iframes.
• generic web: Monitor AliasVault Web Client logs for unusual JavaScript execution patterns or requests to external domains originating from the email rendering feature. Use curl/wget to check for endpoint exposure related to email rendering.
• generic web: Examine access and error logs for suspicious HTTP requests containing JavaScript payloads targeting the email rendering feature. Search for patterns like <script> tags or eval() functions within email content.
disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-26266 es actualizar AliasVault Web Client a la versión 0.26.0 o superior, que incluye la corrección de la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda extremar la precaución al visualizar correos electrónicos en alias, especialmente aquellos de remitentes desconocidos. Aunque no es una solución completa, la deshabilitación temporal del renderizado de HTML en correos electrónicos (si AliasVault ofrece esta opción) podría reducir el riesgo. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el código fuente o realizando pruebas de penetración.
Actualice AliasVault Web Client a la versión 0.26.0 o superior. Esta versión corrige la vulnerabilidad XSS al aplicar sanitización y sandboxing al contenido HTML de los correos electrónicos antes de renderizarlos. La actualización previene la ejecución de scripts maliciosos al visualizar correos en el cliente web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26266 is a critical stored XSS vulnerability in AliasVault Web Client versions 0.25.3 and earlier. It allows attackers to inject malicious JavaScript into emails, potentially compromising user accounts.
If you are using AliasVault Web Client versions 0.25.3 or earlier, you are affected by this vulnerability. Upgrade to version 0.26.0 or later to mitigate the risk.
The fix is to upgrade AliasVault Web Client to version 0.26.0 or later. This resolves the vulnerability by properly sanitizing HTML content during email rendering.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted. Monitor your systems and implement mitigations proactively.
Refer to the official AliasVault security advisory for detailed information and updates regarding CVE-2026-26266: [https://aliasvault.com/security/advisories](https://aliasvault.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.