Katalog CVE

CVE-2026-11569

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Quay znaleziono lukę, która pozwala na przesyłanie plików SVG zawierających JavaScript przez uwierzytelnionego użytkownika z dostępem do zapisu w repozytorium. Plik jest przechowywany i serwowany przez CDN, co umożliwia atak typu stored cross-site scripting.

Ocena ryzyka

Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wykorzystanie tej luki może zagrażać integralności aplikacji i bezpieczeństwu danych.

Rekomendacja

Zaleca się wprowadzenie walidacji typów MIME dla przesyłanych plików oraz ograniczenie możliwości przesyłania plików SVG przez użytkowników z dostępem do zapisu w repozytorium.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Quay. The filedrop endpoint accepts any mime type without validation, allowing an authenticated user with repository write access to upload a malicious SVG file containing JavaScript. The file is stored and served inline through the CDN, enabling stored cross-site scripting when a victim visits the archive URL.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS