Vulnerabilities ›

CVE-2026-45228

Medium

CWE-79 — Weakness Type

                    Published: May 13, 2026                      ·  Modified: May 16, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

Quark Drive before 0.8.5 contains a stored cross-site scripting vulnerability in the System Configuration page where the template renders push_config key names using Vue.js's v-html directive without escaping. Authenticated attackers can inject HTML or JavaScript payloads as key names through the POST /update endpoint, which are persisted to disk and executed in the browsers of all authenticated users accessing the System Configuration tab, allowing session cookie exfiltration and arbitrary authenticated actions.

🤖 AI Executive Summary

Quark Drive versions before 0.8.5 contain a stored XSS vulnerability in the System Configuration page where unescaped key names are rendered via Vue.js v-html directive. Authenticated attackers can inject malicious payloads through the POST /update endpoint that execute for all users accessing the configuration tab, enabling session hijacking and unauthorized actions.

📄 Description (Arabic)

تحتوي ثغرة XSS المخزنة هذه على خطورة متوسطة حيث تتطلب مصادقة مسبقة لكن تؤثر على جميع المستخدمين المصرح لهم. يمكن للمهاجمين سرقة ملفات تعريف الجلسة والقيام بإجراءات مصرح بها نيابة عن الضحايا. الثغرة موجودة في معالجة أسماء مفاتيح الإعدادات التي لا يتم تصفيتها بشكل صحيح قبل العرض.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات Quark Drive السابقة للإصدار 0.8.5 على ثغرة XSS مخزنة في صفحة إعدادات النظام حيث يتم عرض أسماء المفاتيح بدون تصفية عبر توجيه Vue.js v-html. يمكن للمهاجمين المصرح لهم حقن حمولات ضارة من خلال نقطة نهاية POST /update التي تُنفذ لجميع المستخدمين الذين يصلون إلى علامة التبويب الإعدادات.

🤖 AI Intelligence Analysis Analyzed: May 28, 2026 06:32

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking healthcare telecom

🎯 MITRE ATT&CK Techniques

T1190 T1598 T1566 T1204 T1566.002

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Quark Drive to version 0.8.5 or later immediately. Implement input validation and sanitization for all POST /update endpoint parameters. Apply HTML entity encoding to all user-supplied data before rendering with v-html directive. Conduct security audit of template rendering practices. Restrict System Configuration page access to authorized administrators only.

🔧 خطوات المعالجة (العربية)

قم بترقية Quark Drive إلى الإصدار 0.8.5 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات نقطة نهاية POST /update. طبق ترميز كيانات HTML على جميع البيانات المدخلة من المستخدم قبل العرض باستخدام توجيه v-html. أجرِ تدقيق أمني لممارسات عرض القوالب. قيد الوصول إلى صفحة إعدادات النظام للمسؤولين المصرح لهم فقط.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1 PR.DS-6 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.1.3 A.14.2.1

🔗 References & Sources 3

🔗

https://github.com/Cp0204/quark-auto-save/commit/8436e2821988637ed7bfc5562544d089e6b29478

disclosure@vulncheck.com

🔗

https://github.com/Cp0204/quark-auto-save/releases/tag/v0.8.5

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/quark-drive-stored-xss-via-system-configuration

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-79

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-13

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-45228

Introduce Yourself

Sign In Required