Platform
javascript
Component
openstatus
Opgelost in
1.0.1
CVE-2026-5808 is a cross-site scripting (XSS) vulnerability affecting openstatusHQ openstatus versions up to 1b678e71a85961ae319cbb214a8eae634059330c. This vulnerability allows an attacker to inject malicious scripts into the application, potentially leading to data theft or account takeover. The vulnerability resides within the Onboarding Endpoint's handling of the callbackURL argument. A patch, identified as 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb, is available.
Een Cross-Site Scripting (XSS) kwetsbaarheid is gevonden in openstatusHQ openstatus tot versie 1b678e71a85961ae319cbb214a8eae634059330c. Deze kwetsbaarheid beïnvloedt een onbekende functie binnen het bestand apps/dashboard/src/app/(dashboard)/onboarding/client.tsx, specifiek in de Onboarding Endpoint component. Een aanvaller kan deze kwetsbaarheid uitbuiten door het argument callbackURL te manipuleren, waardoor mogelijk kwaadaardige scripts in de browser van een gebruiker kunnen worden uitgevoerd. Aangezien openstatus werkt met een rolling release model, zijn er geen specifieke getroffen versies beschikbaar. De ernst van de kwetsbaarheid wordt beoordeeld als CVSS 4.3, wat een matig risico aangeeft. Exploitatie kan op afstand worden uitgevoerd, waardoor het risico op blootstelling toeneemt.
De XSS-kwetsbaarheid ontstaat door een onvoldoende validatie van de callbackURL-invoer in de Onboarding Endpoint component. Een aanvaller zou kwaadaardige JavaScript-code in deze parameter kunnen injecteren, die vervolgens in de browser van een gebruiker wordt uitgevoerd wanneer de gemanipuleerde URL wordt benaderd. Dit zou de aanvaller in staat kunnen stellen cookies te stelen, gebruikers om te leiden naar kwaadaardige websites of andere kwaadaardige acties namens de gebruiker uit te voeren. De remote aard van de exploitatie betekent dat een aanvaller geen fysieke toegang tot het systeem nodig heeft om deze kwetsbaarheid te exploiteren. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om een gebruiker te misleiden om op een kwaadaardige link te klikken of een gecompromitteerde webpagina te bezoeken.
Organizations utilizing openstatusHQ openstatus in their operational environments are at risk, particularly those relying on the application for critical workflows or data management. Teams using older, unpatched deployments are especially vulnerable. Shared hosting environments where multiple users share the same openstatus instance could also be affected, as an attacker could potentially compromise other users' accounts.
• javascript / web:
// Check for unusual callbackURL parameters in network requests
// Look for URLs containing suspicious JavaScript code• generic web:
curl -I <openstatus_url>/apps/dashboard/src/app/(dashboard)/onboarding/client.tsx | grep callbackURL• generic web:
# Check access logs for requests with unusual callbackURL parameters
grep 'callbackURL=' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor deze kwetsbaarheid is het updaten naar de nieuwste beschikbare versie van openstatusHQ openstatus. Vanwege het rolling release model worden updates voortdurend geïmplementeerd. Controleer regelmatig de versie aantekeningen en systeemupdates om ervoor te zorgen dat u de nieuwste versie gebruikt. Implementeer bovendien strenge webbeveiligingsbeleid, zoals invoervalidatie en -sanering, om het risico op XSS-aanvallen te verminderen. Bewaak serverlogs op verdachte activiteiten en overweeg het implementeren van een Web Application Firewall (WAF) voor een extra beveiligingslaag. Tijdig updaten is cruciaal om deze kwetsbaarheid effectief aan te pakken.
Werk bij naar de beveiligde versie (43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb) om de Cross-Site Scripting (XSS) kwetsbaarheid in de onboarding endpoint te mitigeren. De update corrigeert de manipulatie van het callbackURL argument, waardoor het mogelijk was om kwaadaardige code te injecteren. Raadpleeg de documentatie van de leverancier voor gedetailleerde instructies voor de update.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type webbeveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Een aanvaller kan deze kwetsbaarheid gebruiken om vertrouwelijke informatie te stelen, zoals wachtwoorden of persoonlijke gegevens, of om gebruikers om te leiden naar kwaadaardige websites.
Als u ongebruikelijk gedrag in uw browser opmerkt, zoals onverwachte pop-ups of omleidingen naar onbekende websites, kunt u mogelijk geïnfecteerd zijn. Raadpleeg een beveiligingsprofessional.
Terwijl de update wordt toegepast, wees dan voorzichtig bij het klikken op links of het bezoeken van onbekende websites.
Raadpleeg de versieaantekeningen van openstatusHQ openstatus en beveiligingsadviezen voor meer details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.