CVE-2026-11569
ŚrednieCVSS 5.4Streszczenie
W Quay znaleziono lukę, która pozwala na przesyłanie plików SVG zawierających JavaScript przez uwierzytelnionego użytkownika z dostępem do zapisu w repozytorium. Plik jest przechowywany i serwowany przez CDN, co umożliwia atak typu stored cross-site scripting.
Ocena ryzyka
Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wykorzystanie tej luki może zagrażać integralności aplikacji i bezpieczeństwu danych.
Rekomendacja
Zaleca się wprowadzenie walidacji typów MIME dla przesyłanych plików oraz ograniczenie możliwości przesyłania plików SVG przez użytkowników z dostępem do zapisu w repozytorium.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Quay. The filedrop endpoint accepts any mime type without validation, allowing an authenticated user with repository write access to upload a malicious SVG file containing JavaScript. The file is stored and served inline through the CDN, enabling stored cross-site scripting when a victim visits the archive URL.

