questdb ui वेब कंसोल में क्रॉस साइट स्क्रिप्टिंग
प्लेटफ़ॉर्म
other
घटक
dbdb
में ठीक किया गया
1.11.1
1.11.2
1.11.3
1.11.4
1.11.5
1.11.6
1.11.7
1.11.8
1.11.9
1.11.10
A cross-site scripting (XSS) vulnerability has been identified in QuestDB UI versions 1.11.0 through 1.11.9. This flaw affects an unknown function within the Web Console, allowing attackers to inject malicious scripts. Successful exploitation can lead to session hijacking or defacement. Upgrade to version 1.1.10 to mitigate this risk, with a patch identified as b42fd9f18476d844ae181a10a249e003dafb823d.
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
The XSS vulnerability in QuestDB UI allows an attacker to inject arbitrary JavaScript code into the Web Console. This code can then be executed in the context of a user's browser, potentially granting the attacker access to sensitive information such as session cookies or authentication tokens. With these credentials, an attacker could impersonate a legitimate user and perform actions on their behalf, including accessing and modifying data within the QuestDB database. The public availability of an exploit significantly increases the risk of exploitation, as attackers can readily leverage existing tools and techniques to target vulnerable systems.
शोषण संदर्भअनुवाद हो रहा है…
A public proof-of-concept (PoC) for CVE-2026-0824 is available, indicating a relatively high probability of exploitation. The vulnerability was disclosed on 2026-01-10. While not currently listed on CISA KEV, the public availability of the exploit warrants close monitoring and prompt remediation. The low CVSS score reflects the potential for exploitation, but the ease of use of a public PoC elevates the risk.
कौन जोखिम में हैअनुवाद हो रहा है…
Organizations utilizing QuestDB UI in production environments, particularly those running versions 1.11.0 through 1.11.9, are at risk. Shared hosting environments where multiple users share the same QuestDB instance are especially vulnerable, as an attacker could potentially compromise the entire system through a single user's session.
पहचान के चरणअनुवाद हो रहा है…
• generic web: Use curl to test for XSS vulnerabilities in the Web Console. Try injecting <script>alert(1)</script> into various input fields and observe the response.
curl -X POST -d '<script>alert(1)</script>' <web_console_url>• generic web: Examine access and error logs for suspicious patterns related to script injection attempts. • generic web: Review response headers for any unusual content or modifications that might indicate XSS activity.
हमले की समयरेखा
- Disclosure
disclosure
- PoC
poc
- Patch
patch
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation for CVE-2026-0824 is to upgrade QuestDB UI to version 1.1.10 or later. The vendor has confirmed that this fix will also be included in QuestDB 9.3.0. If an immediate upgrade is not feasible, consider implementing temporary workarounds such as strict input validation and output encoding within the Web Console to prevent the injection of malicious scripts. Web Application Firewalls (WAFs) configured to detect and block XSS payloads can also provide an additional layer of protection. After upgrading, confirm the fix by attempting to inject a simple XSS payload (e.g., <script>alert(1)</script>) into the Web Console and verifying that it is not executed.
कैसे ठीक करें
questdb ui को संस्करण 1.1.10 या उच्चतर में अपडेट करें। अपडेट वेब कंसोल में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को ठीक करता है। वैकल्पिक रूप से, आप QuestDB 9.3.0 में अपग्रेड कर सकते हैं, जिसमें यह सुधार भी शामिल है।
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2026-0824 — XSS in QuestDB UI?
CVE-2026-0824 is a cross-site scripting (XSS) vulnerability affecting QuestDB UI versions 1.11.0 through 1.11.9, allowing attackers to inject malicious scripts.
Am I affected by CVE-2026-0824 in QuestDB UI?
If you are running QuestDB UI versions 1.11.0–1.11.9, you are potentially affected by this vulnerability. Upgrade immediately.
How do I fix CVE-2026-0824 in QuestDB UI?
Upgrade QuestDB UI to version 1.1.10 or later. The fix will also be included in QuestDB 9.3.0.
Is CVE-2026-0824 being actively exploited?
A public proof-of-concept is available, indicating a high probability of active exploitation.
Where can I find the official QuestDB advisory for CVE-2026-0824?
Refer to the QuestDB security advisory for detailed information and updates: [https://questdb.io/docs/security/advisories](https://questdb.io/docs/security/advisories)
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।