CVE-2026-30587

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/03/2026

Última modificación:

26/03/2026

Descripción

Múltiples vulnerabilidades de XSS Almacenado existen en Seafile Servidor versión 13.0.15, 13.0.16-pro, 12.0.14 y anteriores, y fueron corregidas en 13.0.17, 13.0.17-pro y 12.0.20-pro, a través del editor Seadoc (sdoc). La aplicación no logra sanear correctamente los mensajes de WebSocket relacionados con las actualizaciones de la estructura del documento. Esto permite a atacantes remotos autenticados inyectar cargas útiles maliciosas de JavaScript a través del atributo src de las pizarras blancas incrustadas de Excalidraw o el atributo href de las etiquetas de anclaje.

Impacto

Referencias a soluciones, herramientas e información

https://gist.github.com/gabdevele/1b7e30ab367b26042fa32f45aa12ce2f
https://github.com/haiwen/seadoc-editor/commit/8fa988aaede072b2ae073d1b2edcb2fc691423b2
https://github.com/haiwen/seahub/commit/4c5301747bdb84c64b2f2b3230417df2d1cc8987
https://manual.seafile.com/12.0/changelog/changelog-for-seafile-professional-server/
https://manual.seafile.com/13.0/changelog/changelog-for-seafile-professional-server/
https://manual.seafile.com/13.0/changelog/server-changelog/