CVE-2026-13140
NiskieCVSS 1.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Podatność typu Stored Cross-Site Scripting w komponencie Canarytokens firmy Thinkst Applied Research, dotycząca publicznie dostępnego magazynu kluczy API AWS. Anonimowe wykorzystanie wymaga znajomości losowego identyfikatora.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy skrypt, który zostanie wykonany w przeglądarce ofiary uzyskującej dostęp do magazynu kluczy API AWS. Może to prowadzić do kradzieży danych uwierzytelniających, tokenów sesyjnych lub innych wrażliwych informacji.
Rekomendacja
Natychmiast zaktualizować Canarytokens do wersji z commita f5aa5c4e (lub nowszej) lub obrazu Docker z tagiem sha-f5aa5c4e. W przypadku braku możliwości natychmiastowej aktualizacji, ograniczyć dostęp do interfejsu magazynu kluczy API AWS.
Oryginalny opis (angielski, źródło NVD)
Stored Cross-Site Scripting in the exposed AWS API key store of Thinkst Applied Research Canarytokens. Anonymous exploitation requires knowledge of a random identifier. This issue affects Canarytokens: from Docker tag sha-4116b92cb before sha-f5aa5c4e, from Git commit 4116b92cb before f5aa5c4e.

