CVE-2026-54386

Name: CVE-2026-54386 — Vulnerability Record
Brand: Quanteta Data Lab
SKU: CVE-2026-54386

MEDIUM

CVSS v3.1: 6.1 · EPSS: 0.0024 (14.8 パーセンタイル)

ネットワーク権限不要XSSベンダー勧告の参照

出典データ取得時点: 2026-06-24 05:00:54 UTC

概要

深刻度: MEDIUM
CVSS: 6.1 v3.1 · NVD
EPSS: 0.0024 (14.8 パーセンタイル) · FIRST.org
CISA KEV: 非該当
タイプ: XSS · NVD CWE
攻撃条件（CVSSベクター）: ネットワーク権限不要 · 出典: NVD ベクター
公開日: 2026-06-17 · 更新日: 2026-06-23
参照情報: 参照情報へ移動 (4)

CVSS / EPSS / KEV

CVSS v3.1 6.1 / 10 MEDIUM 出典: NVD

CVSS v4.0 5.1 / 10 MEDIUM 出典: NVD

EPSS 0.0024 14.8 パーセンタイル出典: FIRST.org

CISA KEV 非該当出典: CISA

出典 — CVSS: NVD · EPSS: FIRST.org · KEV: CISA. データと出典

説明

marimo before 0.23.9 contains a reflected cross-site scripting vulnerability in the notebook page that allows unauthenticated attackers to inject arbitrary JavaScript by exploiting improper escaping of single quotes in the file query parameter reflected into an inline JavaScript string literal. Attackers can craft a malicious link with a payload beginning with __new__ to bypass the 404 check and inject JavaScript into the page, which executes without Content-Security-Policy restrictions in the origin of a victim's marimo server.

レコード詳細

CVE ID: CVE-2026-54386
CVSS (v3.1): 6.1 (MEDIUM)
ベクター: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
悪用可能性サブスコア: 2.8
影響度サブスコア: 2.7
EPSS: 0.0024 (14.8 パーセンタイル) — 2026-06-24
CISA KEV: 非該当
脆弱性タイプ (CWE): CWE-79
影響構成数 (CPE): 0
公開日: 2026-06-17
更新日: 2026-06-23
ステータス: Deferred

参照情報

NVDが列挙した参照URLを、リンクのホスト・パターンに対する機械的な一致でグループ化したもの。ラベルはリンクの種別のみを示します。

パッチ https://github.com/marimo-team/marimo/commit/fdd55c8cf6260ae23bb411dc9d9269def5cf75d6
参照 https://github.com/marimo-team/marimo/pull/9789
パッチ https://github.com/marimo-team/marimo/releases/tag/0.23.9
ベンダー勧告 https://www.vulncheck.com/advisories/marimo-xss-via-file-query-parameter-in-assets-py

← 全レコードへ戻る

CVE-2026-54386

概要

CVSS / EPSS / KEV

説明

レコード詳細

参照情報

関連レコード

同じ脆弱性タイプ (CWE)

同じ年に公開