CVE-2026-22674
Moderat

CVE-2026-22674: XSS-sårbarhed i Hashgraph Guardian

Hashgraph Guardian indeholder en sårbarhed der lader en administrator injicere skadelig kode, som rammer alle brugere ved hvert sidebesøg.

CVSS Score
4.8
Offentliggjort
18/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-22674 er en såkaldt stored cross-site scripting-sårbarhed (XSS) i Hashgraph Guardian op til og med version 3.5.0. XSS betyder, at en angriber kan gemme ondsindet JavaScript-kode direkte i systemet, så den automatisk køres i browseren hos alle brugere, der besøger siden.

Konkret kan en bruger med rollen STANDARD_REGISTRY sende et manipuleret firmanavn via systemets branding-indstillinger. Systemet gemmer værdien uden at tjekke den for skadelig kode og viser den derefter ukritisk til alle andre brugere ved hvert eneste sideindlæsning.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger Hashgraph Guardian version 3.5.0 eller tidligere. Det er særligt relevant, hvis:

  • Du har flere brugere med forskelligt adgangsniveau i systemet.
  • Du har uddelegeret administrationsrettigheder til brugere med rollen STANDARD_REGISTRY.
  • Systemet er tilgængeligt via internettet.

Alle brugere — uanset rolle — der logger ind i systemet, er potentielle ofre, når sårbarheden udnyttes.

Hvad kan ske?

Hvis en angriber udnytter sårbarheden, kan den skadelige kode, der kører i brugernes browsere, blandt andet:

  • Stjæle login-sessioner (cookies), så angriberen kan overtage andre brugeres konti.
  • Omdirigere brugere til falske login-sider for at stjæle adgangskoder (phishing).
  • Læse og sende følsomme data videre fra brugerens skærm til en ekstern modtager.
  • Udføre handlinger i systemet på vegne af den loggede bruger uden deres viden.

Eftersom koden gemmes i systemet og køres ved hvert sidebesøg, kan et enkelt misbrug ramme samtlige brugere løbende, indtil problemet er løst.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 4.8 ud af 10 — Moderat. Det er ikke det højeste niveau, men det er ikke uvæsentligt. Vurderingen er moderat, fordi angriberen skal:

  • Være en autentificeret bruger, dvs. allerede have et gyldigt login med rollen STANDARD_REGISTRY.
  • Kræve, at andre brugere aktivt besøger siden (hvilket de gør ved normal daglig brug).

Omvendt er det alvorligt, at angrebet er vedvarende og rammer alle brugere automatisk, og at det ikke kræver teknisk kompleksitet at udføre. Hvis en betroet bruger med STANDARD_REGISTRY-rollen er kompromitteret eller handler ondsindet, kan konsekvenserne hurtigt eskalere.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Opdatér Hashgraph Guardian til en version der indeholder commit ba8c566 eller nyere. Det er den officielle rettelse fra udviklerne.
  2. Gennemgå hvem der har STANDARD_REGISTRY-rollen i dit system. Fjern adgangen for brugere der ikke aktivt har brug for den.
  3. Tjek branding-indstillingerne i systemet nu og sørg for, at firmanavnet og andre branding-felter ikke indeholder uventede tegn eller scripts (fx <script>-tags).
  4. Informér dine brugere om at de skal melde det til dig, hvis de oplever noget usædvanligt i systemet — fx uventede omdirigeringer eller pop-up-vinduer.
  5. Overvåg login-aktivitet for ukendte eller mistænkelige sessioner, særligt for brugere med forhøjede rettigheder.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Vores klare anbefaling er, at du opdaterer Hashgraph Guardian hurtigst muligt — helst inden for den næste uge. Rettelsen er tilgængelig og begrænser angrebet direkte ved kilden. Sørg samtidig for at gennemgå hvem der har administratorrettigheder i systemet og skær ned til dem, der reelt har brug for dem — det er god praksis uanset denne sårbarhed. Har du brug for hjælp til opdateringen eller en gennemgang af dine adgangsrettigheder, er du velkommen til at kontakte os.

Tidslinje

18/06/2026
CVE offentliggjort
CVE-2026-22674 offentliggøres i NVD (National Vulnerability Database) med en CVSS-score på 4.8 (Moderat). Sårbarheden beskrives som en stored XSS i Hashgraph Guardian op til version 3.5.0.
18/06/2026
Officiel rettelse tilgængelig
Udviklerne bag Hashgraph Guardian udgiver en rettelse via commit ba8c566 i kodebasen. Brugere opfordres til at opdatere straks.
18/06/2026
Proof-of-concept potentielt tilgængeligt
Da sårbarheden er relativt enkel af natur (en ukontrolleret innerHTML-tildeling), vurderes det sandsynligt at tekniske brugere hurtigt kan reproducere angrebet baseret på den offentlige beskrivelse.

Konkrete eksempler

Ondsindet medarbejder overtager kollegers sessioner

En medarbejder med STANDARD_REGISTRY-adgang er sur over at være blevet overset til en forfremmelse. Via branding-API’et ændrer vedkommende firmanavnet til en værdi der indeholder et skjult JavaScript-script. Næste gang en kollega — eller direktøren — logger ind, køres scriptet automatisk i browseren og sender deres session-cookie til medarbejderens server. Medarbejderen kan nu logge ind som dem og se eller ændre data i systemet.

Kompromitteret konto bruges til at sprede phishing internt

En angriber udefra har fået fat i loginoplysningerne til en STANDARD_REGISTRY-bruger via en phishing-mail. Angriberen injicerer et script der viser en falsk login-dialogboks til alle brugere. Brugerne tror de skal logge ind igen og indtaster deres adgangskode — som sendes direkte til angriberen. På den måde høster angriberen adgangskoder fra hele organisationen uden at nogen opdager det.

Automatisk dataindsamling fra alle brugere

En angriber gemmer et script i branding-konfigurationen der stille og roligt læser indholdet på hver side, brugerne besøger, og sender det til en ekstern adresse. Over dage og uger akkumuleres følsomme forretningsdata — fx transaktioner, kontaktoplysninger eller interne dokumenter — uden at nogen opdager det, da der ikke vises noget synligt for brugerne.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
LOW
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

CWE-svaghedstyper

CWE-79

Original NVD-beskrivelse (engelsk)

Hashgraph Guardian through 3.5.0, fixed in commit ba8c566, contains a stored cross-site scripting vulnerability that allows authenticated users with the STANDARD_REGISTRY role to inject malicious scripts by submitting a crafted companyName value via the branding configuration API endpoint. Attackers can exploit the unsanitized innerHTML assignment in the branding service to execute arbitrary JavaScript in the browser of every authenticated user on every page load.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
4.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-22674
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.