CVE-2026-3107: Kritische XSS-Lücke in Teampass

Zusammenfassung

Teampass-Versionen vor 3.1.5.16 sind anfällig für eine gespeicherte Cross-Site-Scripting-Schwachstelle (XSS). Dabei können Angreifer über die Passwort-Import-Funktion bösartigen JavaScript-Code in der Datenbank speichern. Wenn Nutzer später auf die importierten Passwörter zugreifen, wird der Code ausgeführt, was zu Session-Entführung, Credential-Diebstahl und Integritätsverlusten führen kann. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke zu schließen.

Teampass - Teampass - CRITICAL - CVE-2026-3107. Teampass versions before 3.1.5.16 are susceptible to a stored Cross-Site Scripting (XSS) vulnerability. This flaw arises in the password import functionality, where user-input data is inadequately sanitized and encoded. As a result, malicious JavaScript payloads can be injected and persistently stored in the database. When users access the imported passwords, these payloads are executed in their browsers, leading to a stored XSS scenario. This exploitation permits attackers to run arbitrary JavaScript code across multiple user sessions, risking session hijacking, credential theft, and application integrity compromises.