Taiga is an open-source project management tool. In taiga-front versions up to 6.9.0, the `textToHTML` function insufficiently sanitizes user-controlled input, allowing injection of JavaScript event attributes via permitted HTML tags. This can be exploited to steal session tokens from local storage. The issue has been fixed in version 6.9.1.
CVEs
-
Taiga
-
CVE-2026-41250 ‒ Cross-Site-Scripting (XSS) in Taiga
-
-
Acronis Device Lock
-
Gitea
-
HP DeskJet 2855e
-
Canon imageCLASS MF654Cdw
-
PDF-XChange Editor
-
Wazuh
-
Parallels Client
Disclosure Policy
Wir nehmen Responsible Disclosure ernst.
Wir halten uns an die branchenübliche 90+30 Responsible-Disclosure-Regeln. Sobald wir einen Anbieter über eine Sicherheitslücke informieren, räumen wir diesem 90 Tage Zeit ein, um einen Patch zu erstellen und den Nutzern zur Verfügung zu stellen. 30 Tage, nachdem der Patch den Nutzern zur Verfügung gestellt wurde, veröffentlicht Neodyme die Details zur Sicherheitslücke. Wenn der Anbieter ein Problem nicht innerhalb der ersten 90 Tage behebt, behält sich Neodyme das Recht vor, die Details der Sicherheitslücke nach Ablauf der 90 Tage zu veröffentlichen. Der Anbieter hat jedoch die Möglichkeit, auf Anfrage eine zusätzliche 14-tägige Verlängerung der Frist zur Veröffentlichung eines Patches zu erhalten. In einem solchen Fall wird Neodyme die Details der Sicherheitslücke 120 Tage nach der ersten Veröffentlichung bekannt geben. Diese Regelung ist inspiriert von der Responsible Disclosure Policy von Google Project Zero.