CVE-2026-48788
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Remark42, silnik komentarzy do blogów, ma podatność XSS w wersjach od 1.6.0 do 1.15.0, która może być wykorzystana poprzez fałszowanie nagłówka Content-Type. Atakujący może wykorzystać tę lukę, aby wstrzyknąć złośliwy kod HTML/JavaScript do dokumentu w ramach Remark42.
Ocena ryzyka
Podatność ta pozwala atakującym na wykonanie złośliwego kodu w kontekście użytkowników Remark42, co może prowadzić do kradzieży danych lub przejęcia sesji. Organizacje korzystające z tej wersji są narażone na ataki typu XSS.
Rekomendacja
Zaleca się aktualizację do wersji 1.16.0, która naprawia tę podatność. Należy również rozważyć dodatkowe środki bezpieczeństwa, takie jak filtrowanie i walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Remark42 is a self-hosted comment engine for blogs, articles, or any other place where readers can add comments. Versions 1.6.0 through 1.15.0 contain a Cross-Site Scripting (XSS) vulnerability exploitable through content-type spoofing. The Remark42 image proxy fetches an arbitrary remote URL and re-serves the response from Remark42's own origin. During the download phase, the proxy determines whether the resource is an image by inspecting only the Content-Type header advertised by the remote server, never examining the actual bytes; during the serving phase, it instead derives the response Content-Type by sniffing those bytes with http.DetectContentType. An attacker can exploit this inconsistency by hosting a URL that advertises Content-Type: image/png while returning an HTML/JavaScript body: the download check accepts it as an image, the serving path sniffs the body and emits Content-Type: text/html, and the browser renders the attacker-controlled HTML/JavaScript as a document within Remark42's origin. Exploitation requires no Remark42 account on the target instance; the attacker only needs to host the malicious upstream URL and deliver the proxy link to a victim by any means, such as email, direct message, or a link on another website. This issue has been fixed in version 1.16.0.

