Vulnérabilité · NVD
CVE-2026-6019
LOW 6.1
EN http.cookies.Morsel.js_output() returns an inline <script> snippet and only escapes " for JavaScript string context. It does not neutralize the HTML parser-sensitive sequence </script> inside the generated script element. Mitigation base64-encodes the cookie value to disallow escaping using cookie value.
Vecteur d'attaque : Réseau
Aucun privilège requis
Voir le vecteur CVSS brut
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
EPSS
0.06%
exploit très peu probable
percentile 19.7%
Apps suivies liées à cette CVE
Pour chaque app : la plage affectée, la version qui corrige, et où en est l'app suivie aujourd'hui.
Configurations CPE vulnérables (1)
| Vendor | Produit | Plateforme | Versions | CPE 2.3 URI |
|---|---|---|---|---|
| python |
python Toutes plateformes (wildcard)
|
Toutes plateformes (wildcard) | <3.15.0 | cpe:2.3:a:python:python:*:*:*:*:*:*:*:* |