CVE-2026-21855 描述了 Tarkov Data Manager 中发现的一项反射型跨站脚本 (XSS) 漏洞。该漏洞允许攻击者通过恶意 URL 执行 JavaScript 代码,从而可能窃取用户数据或冒充用户执行操作。该漏洞影响 Tarkov Data Manager 2.0.0 及更早版本。已于 2025 年 1 月 2 日发布修复补丁,建议用户尽快升级。
该 XSS 漏洞的潜在影响非常严重。攻击者可以利用该漏洞窃取用户的 Tarkov 游戏内数据,例如物品、金钱和等级。此外,攻击者还可以利用该漏洞冒充用户执行恶意操作,例如发送垃圾信息、加入恶意服务器或进行欺诈交易。由于该漏洞是反射型 XSS,攻击者只需要诱使用户点击恶意 URL 即可触发漏洞,攻击途径简单,风险较高。该漏洞的利用方式类似于其他常见的 XSS 攻击,但针对 Tarkov Data Manager 的特定功能进行了优化。
该漏洞已于 2026 年 1 月 7 日公开披露。目前尚无公开的利用代码 (POC),但由于 XSS 漏洞的普遍性,预计未来可能会出现。该漏洞被评定为高危漏洞,攻击者利用该漏洞的概率较高。CISA 尚未将其添加到 KEV 目录,但建议密切关注相关安全动态。
Users of Tarkov Data Manager, particularly those running versions prior to 2.0.1, are at risk. This includes individuals who rely on the tool for managing their Tarkov item data and are susceptible to attacks through malicious URLs.
• windows / supply-chain: Monitor for suspicious PowerShell commands related to Tarkov Data Manager. Check Autoruns for unusual entries.
Get-Process -Name TarkovDataManager | Select-Object -ExpandProperty Path• generic web: Examine access and error logs for requests containing suspicious URL parameters that might be attempting to inject JavaScript code.
grep -i 'script' /var/log/apache2/access.logpatch
disclosure
漏洞利用状态
EPSS
0.06% (17% 百分位)
CISA SSVC
CVSS 向量
解决 CVE-2026-21855 的最佳方法是立即升级到 Tarkov Data Manager 2.0.1 或更高版本。如果由于兼容性问题无法立即升级,可以尝试限制 toast 通知系统的访问权限,例如禁用不必要的通知或使用内容安全策略 (CSP) 来限制 JavaScript 代码的来源。此外,建议用户谨慎点击来自未知来源的 URL,并定期检查 Tarkov Data Manager 的配置,确保其安全性。升级后,请验证 toast 通知功能是否正常工作,确认漏洞已成功修复。
升级到2.0.0之后的版本。该漏洞已在2025年1月2日的提交中修复。有关更多详细信息,请参阅GitHub安全公告。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-21855 描述了 Tarkov Data Manager 2.0.0 及更早版本中 toast 通知系统中的反射型跨站脚本 (XSS) 漏洞,攻击者可利用该漏洞执行任意 JavaScript 代码。
如果您正在使用 Tarkov Data Manager 2.0.0 或更早版本,则可能受到此漏洞的影响。请尽快升级到最新版本。
最简单的修复方法是升级到 Tarkov Data Manager 2.0.1 或更高版本。
目前尚无公开的利用代码,但由于 XSS 漏洞的普遍性,预计未来可能会出现。
请访问 Tarkov Data Manager 的官方网站或 GitHub 仓库,查找相关安全公告。