Plataforma
javascript
Componente
openstatus
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en openstatusHQ openstatus, afectando versiones hasta 1b678e71a85961ae319cbb214a8eae634059330c. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La corrección se encuentra disponible en la versión 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb, y el producto opera bajo un modelo de lanzamiento continuo.
Un atacante puede explotar esta vulnerabilidad XSS manipulando el argumento callbackURL dentro del archivo apps/dashboard/src/app/(dashboard)/onboarding/client.tsx. Esto podría permitir la ejecución de código JavaScript arbitrario en el navegador de un usuario legítimo, lo que podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página. El impacto potencial es significativo, ya que un atacante podría obtener acceso no autorizado a la cuenta de un usuario y realizar acciones en su nombre. La naturaleza del lanzamiento continuo de openstatusHQ implica que la exposición a esta vulnerabilidad podría ser más amplia, afectando a usuarios que no han actualizado recientemente sus instancias.
La vulnerabilidad fue publicada el 2026-04-08. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre la existencia de pruebas de concepto (PoC) públicas. Sin embargo, dada la naturaleza de las vulnerabilidades XSS, existe la posibilidad de que se desarrollen exploits en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing openstatusHQ openstatus in their operational environments are at risk, particularly those relying on the application for critical workflows or data management. Teams using older, unpatched deployments are especially vulnerable. Shared hosting environments where multiple users share the same openstatus instance could also be affected, as an attacker could potentially compromise other users' accounts.
• javascript / web:
// Check for unusual callbackURL parameters in network requests
// Look for URLs containing suspicious JavaScript code• generic web:
curl -I <openstatus_url>/apps/dashboard/src/app/(dashboard)/onboarding/client.tsx | grep callbackURL• generic web:
# Check access logs for requests with unusual callbackURL parameters
grep 'callbackURL=' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión corregida 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb. Dado que openstatusHQ opera con un modelo de lanzamiento continuo, se recomienda monitorear las actualizaciones y aplicar las correcciones tan pronto como estén disponibles. Como medida temporal, se podría considerar la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de scripts que se pueden ejecutar en la aplicación. Además, es crucial educar a los usuarios sobre los riesgos de hacer clic en enlaces sospechosos o ingresar información personal en sitios web no confiables.
Actualice a la versión corregida (43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb) para mitigar la vulnerabilidad de Cross-Site Scripting (XSS) en el endpoint de onboarding. La actualización corrige la manipulación del argumento callbackURL que permitía la inyección de código malicioso. Consulte la documentación del proveedor para obtener instrucciones detalladas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5808 es una vulnerabilidad de Cross-Site Scripting (XSS) en openstatusHQ openstatus hasta la versión 1b678e71a85961ae319cbb214a8eae634059330c, que permite la inyección de scripts maliciosos.
Si está utilizando una versión de openstatusHQ openstatus anterior a 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb, es posible que esté afectado por esta vulnerabilidad.
La solución es actualizar a la versión corregida 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb. Monitoree las actualizaciones de openstatusHQ.
Actualmente no hay informes de explotación activa de CVE-2026-5808, pero se recomienda precaución y monitoreo constante.
Consulte la documentación oficial de openstatusHQ y sus canales de comunicación para obtener información sobre la vulnerabilidad CVE-2026-5808.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.