Platform
other
Component
tarkov-data-manager
Opgelost in
2.0.1
CVE-2026-21855 beschrijft een Reflected Cross-Site Scripting (XSS) kwetsbaarheid in de toast notificatie systeem van de Tarkov Data Manager. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript code uit te voeren in de browser van een slachtoffer door een kwaadaardige URL te creëren. De kwetsbaarheid treft versies van Tarkov Data Manager tot en met 2.0.0. Een fix is beschikbaar in versie 2.0.1.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot verschillende schadelijke gevolgen. Een aanvaller kan toegang krijgen tot gevoelige informatie zoals cookies en sessiegegevens van de gebruiker, waardoor ze zich als de gebruiker kunnen voordoen. Ze kunnen ook kwaadaardige scripts injecteren die de gebruikersinterface manipuleren, de gebruiker omleiden naar phishing-pagina's of malware downloaden. De impact is aanzienlijk, aangezien de aanvaller volledige controle kan krijgen over de browser van het slachtoffer binnen de context van de Tarkov Data Manager applicatie.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 7 januari 2026. Er zijn momenteel geen publieke Proof-of-Concept (POC) exploits beschikbaar, maar de XSS-aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De CVSS score van 9.3 duidt op een kritiek risico, wat betekent dat actieve exploitatie waarschijnlijk is als een POC beschikbaar komt.
Users of Tarkov Data Manager, particularly those running versions prior to 2.0.1, are at risk. This includes individuals who rely on the tool for managing their Tarkov item data and are susceptible to attacks through malicious URLs.
• windows / supply-chain: Monitor for suspicious PowerShell commands related to Tarkov Data Manager. Check Autoruns for unusual entries.
Get-Process -Name TarkovDataManager | Select-Object -ExpandProperty Path• generic web: Examine access and error logs for requests containing suspicious URL parameters that might be attempting to inject JavaScript code.
grep -i 'script' /var/log/apache2/access.logpatch
disclosure
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-21855 is het upgraden van de Tarkov Data Manager naar versie 2.0.1 of hoger. Indien een upgrade momenteel niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren helpen. Controleer ook de input validatie in de toast notificatie systeem om te voorkomen dat kwaadaardige scripts worden uitgevoerd. Na de upgrade, controleer de functionaliteit van de toast notificaties om te bevestigen dat de kwetsbaarheid is verholpen.
Werk bij naar een versie later dan 2.0.0. De kwetsbaarheid is verholpen in commits van 2 januari 2025. Raadpleeg het beveiligingsadvies op GitHub voor meer details.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-21855 is a critical XSS vulnerability in Tarkov Data Manager versions up to 2.0.0, allowing attackers to execute JavaScript via malicious URLs.
Yes, if you are using Tarkov Data Manager version 2.0.0 or earlier, you are vulnerable to this XSS attack.
Upgrade to Tarkov Data Manager version 2.0.1 or later to resolve this vulnerability. Consider input validation as a temporary measure.
There are currently no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and patching.
Refer to the official Tarkov Data Manager release notes and documentation for details regarding this vulnerability and the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.