Katalog CVE

CVE-2026-46642

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Aplikacja draw.io przed wersją 29.7.12 zawiera podatność, która pozwala na wykonanie dowolnego kodu JavaScript poprzez specjalnie przygotowany plik .drawio. Problem występuje w panelu formatu tekstowego, gdzie surowa etykieta komórki jest przypisywana do elementu bez odpowiedniej sanitizacji.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do złośliwego wykonania kodu w kontekście użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemów organizacji.

Rekomendacja

Zaleca się aktualizację aplikacji draw.io do wersji 29.7.12 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

draw.io is a configurable diagramming and whiteboarding application. Prior to version 29.7.12, a crafted .drawio file can execute arbitrary JavaScript in the editor's origin when the file is opened. The vulnerability is not in the label sanitizer (which works correctly on the rendering path) but in a feature-detection routine in the Text Format panel that reads the raw cell label and assigns it to a detached element's innerHTML without sanitization. Browsers fire onerror for failed image loads even on detached elements, so an <img src=x onerror=...> payload in any cell label triggers script execution as soon as the cell is selected — which import does automatically. This issue has been patched in version 29.7.12.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS