Plataforma
other
Componente
tarkov-data-manager
Corrigido em
2.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Tarkov Data Manager, uma ferramenta para gerenciar dados de itens do jogo Tarkov. Essa falha, presente em versões anteriores a 2.0.1, permite que um atacante execute código JavaScript arbitrário no navegador de um usuário, comprometendo a sessão. A vulnerabilidade foi corrigida em 2 de janeiro de 2025, com a versão 2.0.1, e a CVE foi publicada em 7 de janeiro de 2026.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante injete scripts maliciosos em páginas visualizadas por usuários do Tarkov Data Manager. Isso pode levar ao roubo de cookies de sessão, permitindo que o atacante se passe pelo usuário afetado e acesse informações confidenciais ou realize ações em seu nome. O impacto pode variar dependendo das permissões do usuário e da sensibilidade dos dados acessados. Em um cenário de ataque, um atacante poderia criar um link malicioso contendo o script XSS e enviá-lo a um usuário. Ao clicar no link, o script seria executado, comprometendo a sessão do usuário. A ausência de validação adequada da entrada do usuário no sistema de notificações toast é a causa raiz da vulnerabilidade.
A vulnerabilidade foi descoberta e corrigida em janeiro de 2025, com a publicação da CVE em janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. Não está listada no KEV da CISA. A existência de um Proof of Concept (PoC) público não foi confirmada.
Users of Tarkov Data Manager, particularly those running versions prior to 2.0.1, are at risk. This includes individuals who rely on the tool for managing their Tarkov item data and are susceptible to attacks through malicious URLs.
• windows / supply-chain: Monitor for suspicious PowerShell commands related to Tarkov Data Manager. Check Autoruns for unusual entries.
Get-Process -Name TarkovDataManager | Select-Object -ExpandProperty Path• generic web: Examine access and error logs for requests containing suspicious URL parameters that might be attempting to inject JavaScript code.
grep -i 'script' /var/log/apache2/access.logpatch
disclosure
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 2.0.1 ou superior do Tarkov Data Manager. Se a atualização imediata não for possível, considere implementar validação rigorosa de entrada em todos os pontos de entrada de dados, especialmente no sistema de notificações toast. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de ataques XSS, restringindo as fontes de scripts que podem ser executados no navegador. Monitore logs de acesso e erros em busca de padrões suspeitos que possam indicar tentativas de exploração da vulnerabilidade.
Atualize para uma versão posterior a 2.0.0. A vulnerabilidade foi corrigida em commits de 2 de janeiro de 2025. Consulte o advisory de segurança no GitHub para mais detalhes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-21855 is a critical XSS vulnerability in Tarkov Data Manager versions up to 2.0.0, allowing attackers to execute JavaScript via malicious URLs.
Yes, if you are using Tarkov Data Manager version 2.0.0 or earlier, you are vulnerable to this XSS attack.
Upgrade to Tarkov Data Manager version 2.0.1 or later to resolve this vulnerability. Consider input validation as a temporary measure.
There are currently no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and patching.
Refer to the official Tarkov Data Manager release notes and documentation for details regarding this vulnerability and the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.