CRITICAL🇬🇧 English

CVE-2026-21855

Reflected XSS w Tarkov Data Manager — wykonanie JavaScript w przeglądarce ofiary

CVSS 9.3v3.1pub. 2026-01-07upd. 2026-02-03

W narzędziu Tarkov Data Manager wykryto podatność typu reflected Cross Site Scripting (XSS) w systemie powiadomień toast. Atakujący może wykonać dowolny kod JavaScript w kontekście sesji przeglądarki ofiary, co stanowi poważne zagrożenie dla poufności i integralności danych.

Pokaż oryginał (EN)

The Tarkov Data Manager is a tool to manage the Tarkov item data. Prior to 02 January 2025, a reflected Cross Site Scripting (XSS) vulnerability in the toast notification system allows any attacker to execute arbitrary JavaScript in the context of a victim's browser session by crafting a malicious URL. A series of fix commits on 02 January 2025 fixed this and other vulnerabilities.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiedniej sanityzacji danych wejściowych w systemie powiadomień toast, co klasyfikuje ją jako CWE-79 (Improper Neutralization of Input During Web Page Generation). Atakujący przygotowuje specjalnie spreparowany złośliwy URL i nakłania ofiarę do jego otwarcia (wymagana jest interakcja użytkownika). Po kliknięciu w link, osadzony payload JavaScript zostaje odzwierciedlony i wykonany bezpośrednio w przeglądarce ofiary w kontekście podatnej aplikacji.

Skutki

Atakujący może wykonać dowolny kod JavaScript w sesji przeglądarki ofiary, co umożliwia kradzież danych sesji, przejęcie konta użytkownika lub manipulację treścią wyświetlaną w aplikacji. Podatność ma zasięg wykraczający poza domenę źródłową (Scope Changed), co zwiększa jej krytyczność.

Mitygacja

Należy zaktualizować Tarkov Data Manager do wersji zawierającej serię poprawek wdrożonych 02 stycznia 2025 roku. Szczegóły dotyczące konkretnych commitów z poprawkami dostępne są w referencjach producenta (advisory GHSA-9c23-rrg9-jc89 na GitHub).

Kogo dotyczy

Tarkov Data Manager (produkt Tarkov) — wersje opublikowane przed 02 stycznia 2025 roku

Uwagi

Podatność została naprawiona serią commits z dnia 02 stycznia 2025 roku, które adresowały tę oraz inne podatności w projekcie. Szczegóły techniczne dostępne w security advisory GHSA-9c23-rrg9-jc89 na repozytorium GitHub the-hideout/tarkov-data-manager.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Tarkov Data Manager

    APP
    Tarkov
    < 2025-01-02
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-21854CRITICAL9.8PL ✓ten sam produkt

Auth Bypass w Tarkov Data Manager — pełny dostęp admina bez uwierzytelnienia

CVE-2026-21856HIGH7.2ten sam produkt

The Tarkov Data Manager is a tool to manage the Tarkov item data. Prior to commit 9bdb3a75a98a7047b6d70144eb1d...