Plataforma
javascript
Componente
openstatus
Corrigido em
1.0.1
CVE-2026-5808 is a cross-site scripting (XSS) vulnerability affecting openstatusHQ openstatus versions up to 1b678e71a85961ae319cbb214a8eae634059330c. This vulnerability allows an attacker to inject malicious scripts into the application, potentially leading to data theft or account takeover. The vulnerability resides within the Onboarding Endpoint's handling of the callbackURL argument. A patch, identified as 43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb, is available.
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada no openstatusHQ openstatus até a versão 1b678e71a85961ae319cbb214a8eae634059330c. Esta vulnerabilidade afeta uma função desconhecida dentro do arquivo apps/dashboard/src/app/(dashboard)/onboarding/client.tsx, especificamente no componente Onboarding Endpoint. Um atacante pode explorar esta vulnerabilidade manipulando o argumento callbackURL, o que pode permitir a execução de scripts maliciosos no navegador de um usuário. Dado que o openstatus opera sob um modelo de lançamento contínuo (rolling release), não há versões específicas afetadas disponíveis. A gravidade da vulnerabilidade é classificada como CVSS 4.3, o que indica um risco moderado. A exploração pode ser realizada remotamente, aumentando o risco de exposição.
A vulnerabilidade XSS ocorre devido à falta de uma validação adequada da entrada callbackURL no componente Onboarding Endpoint. Um atacante pode injetar código JavaScript malicioso neste parâmetro, que então será executado no navegador de um usuário quando a URL manipulada for acessada. Isso pode permitir que o atacante roube cookies, redirecione os usuários para sites maliciosos ou execute outras ações maliciosas em nome do usuário. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao sistema para explorar esta vulnerabilidade. O sucesso da exploração depende da capacidade do atacante de enganar um usuário para que clique em um link malicioso ou visite uma página web comprometida.
Organizations utilizing openstatusHQ openstatus in their operational environments are at risk, particularly those relying on the application for critical workflows or data management. Teams using older, unpatched deployments are especially vulnerable. Shared hosting environments where multiple users share the same openstatus instance could also be affected, as an attacker could potentially compromise other users' accounts.
• javascript / web:
// Check for unusual callbackURL parameters in network requests
// Look for URLs containing suspicious JavaScript code• generic web:
curl -I <openstatus_url>/apps/dashboard/src/app/(dashboard)/onboarding/client.tsx | grep callbackURL• generic web:
# Check access logs for requests with unusual callbackURL parameters
grep 'callbackURL=' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A principal mitigação para esta vulnerabilidade é atualizar para a versão mais recente disponível do openstatusHQ openstatus. Devido ao modelo de lançamento contínuo, as atualizações são implementadas continuamente. Verifique regularmente as notas da versão e as atualizações do sistema para garantir que você está usando a versão mais recente. Além disso, implemente políticas de segurança web rigorosas, como a validação e o saneamento de entradas, para reduzir o risco de ataques XSS. Monitore os registros do servidor em busca de atividades suspeitas e considere a implementação de um firewall de aplicativos web (WAF) para fornecer uma camada adicional de proteção. As atualizações oportunas são cruciais para abordar esta vulnerabilidade de forma eficaz.
Atualize para a versão corrigida (43d9b2b9ef8ae1a98f9bdc8a9f86d6a3dfaa2dfb) para mitigar a vulnerabilidade de Cross-Site Scripting (XSS) no endpoint de onboarding. A atualização corrige a manipulação do argumento callbackURL que permitia a injeção de código malicioso. Consulte a documentação do fornecedor para obter instruções detalhadas de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança web que permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários.
Um atacante pode usar esta vulnerabilidade para roubar informações confidenciais, como senhas ou dados pessoais, ou para redirecionar usuários para sites maliciosos.
Se você notar um comportamento incomum no seu navegador, como pop-ups inesperados ou redirecionamentos para sites desconhecidos, você pode ter sido infectado. Consulte um profissional de segurança.
Enquanto a atualização é aplicada, é recomendável ter cuidado ao clicar em links ou visitar sites desconhecidos.
Consulte as notas da versão do openstatusHQ openstatus e os avisos de segurança para obter mais detalhes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.