anonhaven

CVE-2026-26862

HIGH CVSS 3.1: 8,3 EPSS 0.02%
Обновлено 27 февраля 2026
CleverTap
Параметр Значение
CVSS 8,3 (HIGH)
Тип уязвимости CWE-79 (Межсайтовый скриптинг (XSS)), CWE-829 (Подключение из недоверенного источника)
Поставщик CleverTap
Публичный эксплойт Нет

CleverTap Web SDK версии 1.15.2 и более ранних уязвим к межсайтовому скриптингу на основе DOM (XSS) через window.postMessage в модуле Visual Builder. Проверка происхождения в src/modules/visualBuilder/pageBuilder.js (строки 56–60) использует метод include() для проверки того, что originUrl содержит «dashboard.clevertap.com», что может быть обойти злоумышленник с помощью созданного поддомена.

Показать оригинальное описание (EN)

CleverTap Web SDK version 1.15.2 and earlier is vulnerable to DOM-based Cross-Site Scripting (XSS) via window.postMessage in the Visual Builder module. The origin validation in src/modules/visualBuilder/pageBuilder.js (lines 56-60) uses the includes() method to verify the originUrl contains "dashboard.clevertap.com", which can be bypassed by an attacker using a crafted subdomain

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))
CWE-829 Inclusion of Functionality from Untrusted Source (Подключение из недоверенного источника)

Ссылки 3

https://github.com/CleverTap/clevertap-web-sdk/blob/cf1b65d/src/modules/visualB…
cve@mitre.org
https://github.com/CleverTap/clevertap-web-sdk/issues/442
cve@mitre.org
https://github.com/CleverTap/clevertap-web-sdk/pull/417
cve@mitre.org
Share Post Share Share Share