Les injeccions indirectes de scripts emmagatzemats al motor de flux de treball d’Altium permeten l’escalada de privilegis
22/01/2026
CVE-2026-1010
ALT (8,2)
CVSS3: 8,0
Existeix una vulnerabilitat d’injecció indirecta de scripts (XSS) emmagatzemats al motor de flux de treball d’Altium a causa d’una manca de sanejament d’entrada del costat del servidor a les API d’enviament de formularis de flux de treball. Un usuari autenticat normal pot injectar JavaScript arbitrari a les dades del flux de treball. Quan un administrador visualitza el flux de treball afectat, la càrrega útil injectada s’executa en el context del navegador de l’administrador, cosa que permet l’escalada de privilegis, inclosa la creació de nous comptes d’administrador, el robatori de testimonis de sessió i l’execució d’accions administratives.
post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}
Sistemes Afectats
- Altium Altium 365 unspecified
Remediació
No hi ha cap recurs disponible a partir del 15 de gener del 2026. Vegeu-ne les Referències.
