CVE-2026-0824CVE-2026-0824是QuestDB数据库Web Console组件中的一个存储型跨站脚本(XSS)漏洞。该漏洞影响QuestDB UI版本至1.11.9。攻击者可以通过在Web Console的输入字段中注入恶意JavaScript代码,当其他用户查看包含恶意代码的页面时,恶意脚本将在受害者浏览器中执行。这可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。由于该漏洞的利用代码已公开,且CVSS评分为3.5(低危级别),建议受影响用户尽快升级到QuestDB 9.3.0或UI版本1.1.10以修复此漏洞。
该漏洞存在于QuestDB的Web Console组件中,具体位置在用户输入处理和输出渲染环节。攻击者通过在Web Console的特定功能模块(如查询输入、数据展示等)注入恶意JavaScript代码。由于应用程序未对用户输入进行充分的HTML实体转义或内容安全策略(CSP)限制,恶意代码被存储在服务器端并在后续页面访问时回显给其他用户。当受害者访问受影响页面时,恶意脚本在其浏览器上下文中执行,可窃取Cookie、会话令牌或其他敏感信息。漏洞利用需要攻击者具有低权限用户账户,且需要诱导受害者进行点击或访问特定页面。CVSS向量显示攻击复杂度低(AC:L),但需要用户交互(UI:R)和低权限认证(PR:L)。