Katalog CVE

CVE-2026-32859

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

Podatność typu stored XSS w API artifactów ByteDance DeerFlow przed commit 5dbb362 umożliwia atakującym wstrzyknięcie złośliwego kodu HTML lub JavaScript poprzez przesłanie go jako artifact. Po wyświetleniu artifactu przez użytkownika kod wykonuje się w kontekście przeglądarki.

Ocena ryzyka

Ryzyko obejmuje przejęcie sesji użytkownika, kradzież poświadczeń oraz wykonanie dowolnego skryptu w przeglądarce ofiary, co może prowadzić do nieautoryzowanego dostępu do systemu i wycieku danych.

Rekomendacja

Należy natychmiast zaktualizować DeerFlow do wersji zawierającej commit 5dbb362 lub nowszej oraz wdrożyć walidację i sanityzację przesyłanych artifactów.

Oryginalny opis (angielski, źródło NVD)

ByteDance DeerFlow versions prior to commit 5dbb362 contain a stored cross-site scripting vulnerability in the artifacts API that allows attackers to execute arbitrary scripts by uploading malicious HTML or script content as artifacts. Attackers can store malicious content that executes in the browser context when users view artifacts, leading to session compromise, credential theft, and arbitrary script execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS