Plateforme
javascript
Composant
openstatus
Corrigé dans
1.0.1
CVE-2026-5808 is a cross-site scripting (XSS) vulnerability affecting openstatusHQ openstatus versions up to 1b678e71a85961ae319cbb214a8eae634059330c. This vulnerability allows an attacker to inject malicious scripts into the application, potentially leading to data theft or account takeover. The vulnerability resides within the Onboarding Endpoint's handling of the callbackURL argument. A patch, identified as 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb, is available.
Une vulnérabilité de Cross-Site Scripting (XSS) a été détectée dans openstatusHQ openstatus jusqu'à la version 1b678e71a85961ae319cbb214a8eae634059330c. Cette vulnérabilité affecte une fonction inconnue dans le fichier apps/dashboard/src/app/(dashboard)/onboarding/client.tsx, spécifiquement dans le composant Onboarding Endpoint. Un attaquant peut exploiter cette vulnérabilité en manipulant l'argument callbackURL, ce qui pourrait permettre l'exécution de scripts malveillants dans le navigateur d'un utilisateur. Étant donné qu'openstatus fonctionne selon un modèle de publication continue (rolling release), aucune version spécifique affectée n'est disponible. La gravité de la vulnérabilité est classée comme CVSS 4.3, ce qui indique un risque modéré. L'exploitation peut être effectuée à distance, augmentant le risque d'exposition.
La vulnérabilité XSS découle d'une validation inadéquate de l'entrée callbackURL dans le composant Onboarding Endpoint. Un attaquant pourrait injecter du code JavaScript malveillant dans ce paramètre, qui serait ensuite exécuté dans le navigateur d'un utilisateur lorsque l'URL manipulée est consultée. Cela pourrait permettre à l'attaquant de voler des cookies, de rediriger les utilisateurs vers des sites web malveillants ou d'effectuer d'autres actions malveillantes au nom de l'utilisateur. La nature à distance de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour exploiter cette vulnérabilité. Le succès de l'exploitation dépend de la capacité de l'attaquant à tromper un utilisateur pour qu'il clique sur un lien malveillant ou qu'il visite une page web compromise.
Organizations utilizing openstatusHQ openstatus in their operational environments are at risk, particularly those relying on the application for critical workflows or data management. Teams using older, unpatched deployments are especially vulnerable. Shared hosting environments where multiple users share the same openstatus instance could also be affected, as an attacker could potentially compromise other users' accounts.
• javascript / web:
// Check for unusual callbackURL parameters in network requests
// Look for URLs containing suspicious JavaScript code• generic web:
curl -I <openstatus_url>/apps/dashboard/src/app/(dashboard)/onboarding/client.tsx | grep callbackURL• generic web:
# Check access logs for requests with unusual callbackURL parameters
grep 'callbackURL=' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
L'atténuation principale de cette vulnérabilité est de mettre à jour vers la dernière version disponible d'openstatusHQ openstatus. En raison du modèle de publication continue, les mises à jour sont implémentées en continu. Vérifiez régulièrement les notes de version et les mises à jour du système pour vous assurer que vous utilisez la version la plus récente. De plus, mettez en œuvre des politiques de sécurité web strictes, telles que la validation et la désinfection des entrées, afin de réduire le risque d'attaques XSS. Surveillez les journaux du serveur à la recherche d'activités suspectes et envisagez de mettre en œuvre un pare-feu d'applications web (WAF) pour fournir une couche de protection supplémentaire. Les mises à jour ponctuelles sont essentielles pour traiter efficacement cette vulnérabilité.
Mettez à jour vers la version corrigée (43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb) pour atténuer la vulnérabilité de Cross-Site Scripting (XSS) dans l'endpoint d'intégration. La mise à jour corrige la manipulation de l'argument callbackURL qui permettait l'injection de code malveillant. Consultez la documentation du fournisseur pour obtenir des instructions détaillées de mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité web qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Un attaquant pourrait utiliser cette vulnérabilité pour voler des informations confidentielles, telles que des mots de passe ou des données personnelles, ou pour rediriger les utilisateurs vers des sites web malveillants.
Si vous remarquez un comportement inhabituel dans votre navigateur, comme des fenêtres pop-up inattendues ou des redirections vers des sites web inconnus, vous pourriez être infecté. Consultez un professionnel de la sécurité.
Pendant que la mise à jour est appliquée, soyez prudent lorsque vous cliquez sur des liens ou que vous visitez des sites web inconnus.
Consultez les notes de version d'openstatusHQ openstatus et les avis de sécurité pour plus de détails.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.