Plateforme
javascript
Composant
cronicle
Corrigé dans
0.9.112
Cronicle est un planificateur de tâches multi-serveur avec une interface utilisateur web. Avant la version 0.9.111, une vulnérabilité de type Cross-Site Scripting (XSS) permettait à un utilisateur non-administrateur disposant des privilèges createevents et runevents d'injecter du code JavaScript arbitraire via les champs de sortie des tâches (html.content, html.title, table.header, table.rows, table.caption). Ces données sont stockées sans validation et affichées via innerHTML sur la page des détails de la tâche, ce qui peut entraîner l'exécution de scripts malveillants. La vulnérabilité est corrigée dans la version 0.9.111.
La CVE-2026-39400 affecte Cronicle, un planificateur et exécuteur de tâches multi-serveurs doté d'une interface utilisateur web. La vulnérabilité réside dans la manière dont Cronicle gère les données de sortie des tâches. Avant la version 0.9.111, un utilisateur non administrateur disposant des privilèges 'createevents' et 'runevents' peut injecter du code JavaScript arbitraire via des champs de sortie de tâches tels que 'html.content', 'html.title', 'table.header', 'table.rows' et 'table.caption'. Cronicle stocke ces données sans une désinfection appropriée, et l'application web cliente les affiche en utilisant 'innerHTML' sur la page des détails de la tâche. Cela permet à un attaquant d'exécuter du code JavaScript malveillant dans le navigateur d'un utilisateur, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité de l'application et des données associées. L'impact est significatif, car un attaquant pourrait voler des informations d'identification, modifier des données ou effectuer d'autres actions malveillantes au nom de l'utilisateur concerné.
Un attaquant disposant des privilèges 'createevents' et 'runevents' dans Cronicle peut exploiter cette vulnérabilité en créant une tâche qui inclut du code JavaScript malveillant dans les champs de sortie mentionnés. Lors de l'exécution de cette tâche, le code JavaScript sera injecté dans la page des détails de la tâche et exécuté dans le navigateur de l'utilisateur qui visualise la page. La facilité d'exploitation découle du manque de validation des entrées dans Cronicle, ce qui permet l'injection directe de code. Le succès de l'exploitation dépend de la capacité de l'attaquant à obtenir les privilèges nécessaires et de la présence d'un utilisateur vulnérable visualisant la page des détails de la tâche.
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
La solution à la CVE-2026-39400 consiste à mettre à jour Cronicle vers la version 0.9.111 ou ultérieure. Cette version inclut une correction qui désinfecte les données de sortie des tâches avant de les afficher dans le navigateur. En plus de la mise à jour, il est recommandé de revoir et de limiter les privilèges des utilisateurs non administrateurs, en n'accordant que les autorisations nécessaires à l'exécution de leurs tâches. La mise en œuvre d'une politique de sécurité du contenu (CSP) sur le serveur web peut fournir une couche de protection supplémentaire en restreignant les sources à partir desquelles les scripts peuvent être chargés. La surveillance des journaux de Cronicle à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. La mise à jour est la mesure la plus critique et la plus efficace pour atténuer cette vulnérabilité.
Actualice Cronicle a la versión 0.9.111 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema de sanitización de datos en los campos de salida de los trabajos, evitando la inyección de código JavaScript malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour cette vulnérabilité de sécurité dans Cronicle.
Mettez à jour vers la version 0.9.111 ou ultérieure immédiatement.
Si vous utilisez une version antérieure à 0.9.111, vous êtes vulnérable.
Oui, examinez les privilèges des utilisateurs et envisagez de mettre en œuvre une politique de sécurité du contenu (CSP).
Consultez la documentation officielle de Cronicle et les sources d'informations sur la sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.