CVE-2026-46492
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
W aplikacji md-fileserver przed wersją 1.10.3 występuje podatność typu cross-site scripting (XSS) w logice renderowania Markdown. Umożliwia to wykonanie dowolnego kodu JavaScript w kontekście zainfekowanej domeny poprzez wstrzyknięcie niezabezpieczonego HTML, w tym tagów <script>.
Ocena ryzyka
Podatność ta może prowadzić do poważnych zagrożeń bezpieczeństwa, w tym kradzieży danych użytkowników lub przejęcia sesji. Atakujący może wykorzystać tę lukę do wykonania złośliwego kodu w przeglądarkach użytkowników.
Rekomendacja
Zaleca się aktualizację aplikacji do wersji 1.10.3 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
md-fileserver allows for local viewing of markdown files in a browser. Prior to version 1.10.3, a cross-site scripting (XSS) vulnerability exists in the application’s Markdown rendering logic. When user-supplied Markdown content is rendered, embedded raw HTML—including <script> tags—is processed and injected into the resulting page without sanitization, allowing arbitrary JavaScript execution in the context of the affected domain. This issue has been patched in version 1.10.3.

