CRITICAL🇬🇧 English

CVE-2026-26266

Stored XSS w renderowaniu e-maili AliasVault Web Client

CVSS 9.3v3.1pub. 2026-03-03upd. 2026-03-05

AliasVault Web Client w wersjach 0.25.3 i niższych jest podatny na stored XSS w funkcji wyświetlania wiadomości e-mail. Atakujący może wysłać spreparowaną wiadomość, której złośliwy kod JavaScript zostanie wykonany w przeglądarce ofiary w kontekście aplikacji.

Pokaż oryginał (EN)

AliasVault is a privacy-first password manager with built-in email aliasing. A stored cross-site scripting (XSS) vulnerability was identified in the email rendering feature of AliasVault Web Client versions 0.25.3 and lower. When viewing received emails on an alias, the HTML content is rendered in an iframe using srcdoc, which does not provide origin isolation. An attacker can send a crafted email containing malicious JavaScript to any AliasVault email alias. When the victim views the email in the web client, the script executes in the same origin as the application. No sanitization or sandboxing was applied to email HTML content before rendering. This vulnerability is fixed in 0.26.0.[

🤖 Analiza AI
Jak działa

Wiadomości e-mail odbierane na aliasach są renderowane jako HTML w elemencie iframe z atrybutem srcdoc, który nie zapewnia izolacji origin. Treść HTML nie była poddawana żadnej sanityzacji ani sandboxingowi przed wyrenderowaniem. Atakujący wysyła spreparowaną wiadomość e-mail zawierającą złośliwy JavaScript na dowolny alias AliasVault. Gdy ofiara otworzy tę wiadomość w kliencie webowym, skrypt wykonuje się w tym samym origin co aplikacja, uzyskując pełny dostęp do jej kontekstu.

Skutki

Atakujący może wykonać dowolny kod JavaScript w sesji zalogowanego użytkownika, co potencjalnie umożliwia kradzież danych uwierzytelniających, haseł, aliasów e-mail oraz przejęcie konta ofiary.

Mitygacja

Należy zaktualizować AliasVault do wersji 0.26.0, w której podatność została naprawiona. Patch dostępny jest w repozytorium GitHub producenta (commit 382e2e96fa502891638a48404f6d82dc972ab481) oraz jako oficjalne wydanie oznaczone tagiem 0.26.0.

Kogo dotyczy

AliasVault Web Client w wersjach 0.25.3 i niższych

Uwagi

Podatność dotyczy aplikacji przeznaczonej do ochrony prywatności (menedżer haseł z aliasami e-mail), co szczególnie podnosi ryzyko — skuteczny atak może prowadzić do ujawnienia danych przechowywanych w narzędziu zaprojektowanym właśnie w celu ich ochrony.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Aliasvault

    APP
    Aliasvault
    < 0.26.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-22694MEDIUM6.1ten sam produkt

AliasVault is a privacy-first password manager with built-in email aliasing. AliasVault Android versions 0.24....

CVE-2026-2974LOW1.1ten sam produkt

W aplikacji AliasVault do wersji 0.25.3 na Android/iOS zidentyfikowana została luka w zabezpieczeniach dotyczą...