CVE-2026-32859
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
Podatność typu stored XSS w API artifactów ByteDance DeerFlow przed commit 5dbb362 umożliwia atakującym wstrzyknięcie złośliwego kodu HTML lub JavaScript poprzez przesłanie go jako artifact. Po wyświetleniu artifactu przez użytkownika kod wykonuje się w kontekście przeglądarki.
Ocena ryzyka
Ryzyko obejmuje przejęcie sesji użytkownika, kradzież poświadczeń oraz wykonanie dowolnego skryptu w przeglądarce ofiary, co może prowadzić do nieautoryzowanego dostępu do systemu i wycieku danych.
Rekomendacja
Należy natychmiast zaktualizować DeerFlow do wersji zawierającej commit 5dbb362 lub nowszej oraz wdrożyć walidację i sanityzację przesyłanych artifactów.
Oryginalny opis (angielski, źródło NVD)
ByteDance DeerFlow versions prior to commit 5dbb362 contain a stored cross-site scripting vulnerability in the artifacts API that allows attackers to execute arbitrary scripts by uploading malicious HTML or script content as artifacts. Attackers can store malicious content that executes in the browser context when users view artifacts, leading to session compromise, credential theft, and arbitrary script execution.

