Fava time and filter parameters vulnerable to reflected Cross-site Scripting — CVE-2022-2514

GitHub · GitHub · CVE-2022-2514

ID
CVE-2022-2514

Datum
2022-07-26

Aktualisiert
2026-05-19

Activity
2026-05-19

Quelle
GitHub

Vendor
GitHub

Risiko
medium

CVSS
5.3

EPSS
0.0032

Zusammenfassung

The time and filter parameters in Fava prior to v1.22 are vulnerable to reflected cross-site scripting due to the lack of escaping of error messages which contained the parameters in verbatim.

Produkt

pip: fava

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21

Angular Client Hydration DOM Clobbering & Response-Cache Poisoning

2026-06-15 CVE-2026-54267

highGitHub GitHub 2026-W25

File Browser has a Command Execution Allowlist Bypass via Shell Metacharacter Injection

2026-06-13 CVE-2026-54090

highGitHub GitHub 2026-W24

ConnectBot SSH Client Library: Excessive allocation and integer overflow in DER private-key parsing

2026-06-12 GHSA-VC8P-8PXG-RFWG

mediumGitHub GitHub 2026-W24

ConnectBot SSH Client Library: Unbounded SSH field lengths can cause excessive memory allocation

2026-06-12 GHSA-CH3Q-CW5R-F4HG

mediumGitHub GitHub 2026-W24

File Browser has a DoS Vulnerability via Public Login API

2026-06-12 CVE-2026-54092

highGitHub GitHub 2026-W24

File Browser has incorrect access control for public directory shares via rule path rebasing

2026-06-12 CVE-2026-54091

highGitHub GitHub 2026-W24