الثغرات ›

CVE-2026-45228

متوسط

CWE-79 — نوع الضعف

                    نُشر: May 13, 2026                      ·  آخر تحديث: May 16, 2026                      ·  المصدر: NVD                

CVSS v3

5.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Quark Drive before 0.8.5 contains a stored cross-site scripting vulnerability in the System Configuration page where the template renders push_config key names using Vue.js's v-html directive without escaping. Authenticated attackers can inject HTML or JavaScript payloads as key names through the POST /update endpoint, which are persisted to disk and executed in the browsers of all authenticated users accessing the System Configuration tab, allowing session cookie exfiltration and arbitrary authenticated actions.

🤖 ملخص AI

Quark Drive versions before 0.8.5 contain a stored XSS vulnerability in the System Configuration page where unescaped key names are rendered via Vue.js v-html directive. Authenticated attackers can inject malicious payloads through the POST /update endpoint that execute for all users accessing the configuration tab, enabling session hijacking and unauthorized actions.

📄 الوصف (العربية)

تحتوي ثغرة XSS المخزنة هذه على خطورة متوسطة حيث تتطلب مصادقة مسبقة لكن تؤثر على جميع المستخدمين المصرح لهم. يمكن للمهاجمين سرقة ملفات تعريف الجلسة والقيام بإجراءات مصرح بها نيابة عن الضحايا. الثغرة موجودة في معالجة أسماء مفاتيح الإعدادات التي لا يتم تصفيتها بشكل صحيح قبل العرض.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات Quark Drive السابقة للإصدار 0.8.5 على ثغرة XSS مخزنة في صفحة إعدادات النظام حيث يتم عرض أسماء المفاتيح بدون تصفية عبر توجيه Vue.js v-html. يمكن للمهاجمين المصرح لهم حقن حمولات ضارة من خلال نقطة نهاية POST /update التي تُنفذ لجميع المستخدمين الذين يصلون إلى علامة التبويب الإعدادات.

🤖 التحليل الذكي آخر تحليل: May 28, 2026 06:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1598 T1566 T1204 T1566.002

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Quark Drive to version 0.8.5 or later immediately. Implement input validation and sanitization for all POST /update endpoint parameters. Apply HTML entity encoding to all user-supplied data before rendering with v-html directive. Conduct security audit of template rendering practices. Restrict System Configuration page access to authorized administrators only.

🔧 خطوات المعالجة (العربية)

قم بترقية Quark Drive إلى الإصدار 0.8.5 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات نقطة نهاية POST /update. طبق ترميز كيانات HTML على جميع البيانات المدخلة من المستخدم قبل العرض باستخدام توجيه v-html. أجرِ تدقيق أمني لممارسات عرض القوالب. قيد الوصول إلى صفحة إعدادات النظام للمسؤولين المصرح لهم فقط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1 PR.DS-6 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.1.3 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/Cp0204/quark-auto-save/commit/8436e2821988637ed7bfc5562544d089e6b29478

disclosure@vulncheck.com

🔗

https://github.com/Cp0204/quark-auto-save/releases/tag/v0.8.5

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/quark-drive-stored-xss-via-system-configuration

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.4

CWECWE-79

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-13

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-45228

عرّفنا بنفسك

تسجيل الدخول مطلوب