Dev & Open Source||2 sources
Vulnérabilité XSS stockée CVE-2026-28280 dans osctrl-admin avant la version 0.5.0
Une vulnérabilité XSS stockée dans osctrl-admin <0.5.0 permet à des utilisateurs de bas niveau d’injecter du JavaScript exécuté par les admins. Corrigée dans la version 0.5.0 avec encodage renforcé.
Le 28 février 2026, le projet open-source osctrl, hébergé sur GitHub aux États-Unis, a été concerné par la publication d’une vulnérabilité d’injection de scripts intersites (XSS) stockée, identifiée sous CVE-2026-28280, affectant le composant osctrl-admin des versions antérieures à 0.5.0. Des utilisateurs authentifiés disposant de permissions limitées « query » peuvent injecter du JavaScript malveillant via l’interface de requêtes à la demande. Ces charges utiles sont stockées dans la base de données backend, puis affichées sans encodage adapté dans le tableau de bord administratif. Lorsqu’un administrateur consulte l’historique des requêtes, le script s’exécute, pouvant entraîner un vol de session ou une escalade de privilèges. Le score CVSS de 6,1 (moyen) reflète un vecteur d’attaque réseau avec un impact élevé sur la confidentialité et l’intégrité. Les injections de scripts intersites stockées sont particulièrement dangereuses, car elles persistent dans la base de données et affectent potentiellement plusieurs administrateurs, contrairement aux variantes reflétées limitées à une victime unique. Classée CWE-79, cette faille dispose d’une preuve de concept (PoC) publique et d’un score EPSS de 0,00023, indiquant un risque d’exploitation faible à court terme. Le correctif, apporté par le commit b478377, introduit un encodage contextuel pour l’affichage des requêtes. L’avis GitHub GHSA-4rv8-5cmm-2r22 détaille l’analyse complète, soulignant l’importance de l’encodage des sorties dans les applications web pour prévenir ce type de vulnérabilités courantes. Pour atténuer le risque, les administrateurs doivent passer à osctrl 0.5.0, en tirant les images Docker ou binaires récents et en redéployant osctrl-admin. Une vérification consiste à tenter de sauvegarder une requête avec des balises HTML, qui doivent s’afficher comme du texte brut. Le principe de moindre privilège renforce la sécurité en limitant les accès « query » : ce pilier de la cybersécurité accorde uniquement les droits nécessaires, réduisant la surface d’attaque et limitant les impacts d’une escalade de privilèges potentielle.
2 sources
Article enrichi par l'IA
Cet article a été enrichi avec du contexte additionnel provenant des connaissances de l'IA (historique, comparaisons, données techniques). Les sources éditoriales restent la base factuelle.
CVE-2026-28280: Stored Cross-Site Scripting (XSS) in osctrl-admin On-Demand Query List
Source éditoriale·Dev.to·28 févr. 2026
Contexte ajouté : explication du XSS stocké, échelle CVSS, risques généraux d’escalade de privilèges et principe de moindre privilège en cybersécurité
Contexte IA