Mehrere Schwachstellen (CVE-2026-26861, CVE-2026-26862) in Clevertap
⚠️ CVE-Referenzen:
CVE-2026-26861
CVE-2026-26862
Zusammenfassung
Die Version 1.15.2 und frühere Versionen des CleverTap Web SDK sind von einer DOM-basierten Cross-Site-Scripting-Schwachstelle (XSS) betroffen. Angreifer können diese Lücke im Visual Builder Modul ausnutzen, um bösartigen Code einzuschleusen. Das SDK verwendet eine fehlerhafte Überprüfung der Origin-URL, die umgangen werden kann. Betroffene Nutzer sollten dringend auf die neueste Version des SDK aktualisieren, um sich vor dieser kritischen Sicherheitslücke zu schützen.
CleverTap Web SDK version 1.15.2 and earlier is vulnerable to DOM-based Cross-Site Scripting (XSS) via window.postMessage in the Visual Builder module. The origin validation in src/modules/visualBuilder/pageBuilder.js (lines 56-60) uses the includes() method to verify the originUrl contains "dashboard.clevertap.com", which can be bypassed by an attacker using a crafted subdomain
Quelle: app.opencve.io