漏洞概述 HTML injection in the Canarytokens Google Chat notification 漏洞类型: HTML注入 影响组件: Canarytokens 漏洞描述: 在Canarytokens发送的Google Chat通知中,存在HTML注入漏洞。攻击者可以通过注入链接和图片,使这些内容在Google Chat会话中显示,看起来像是来自Canarytokens的通知。 影响范围 受影响版本: - sha-4aef1db90 修复版本: - sha-8ab4dcd 修复方案 补丁信息: 该问题已在Canarytokens.org上发布补丁。 更新方法: 用户可以通过拉取最新的Docker镜像(或任何sha-8ab4dcd之后的Docker镜像)来更新自托管的Canarytokens安装。 其他信息 CVSS v4 base metrics: - Attack Vector: Network - Attack Complexity: Low - Attack Requirements: None - Privileges Required: None - User Interaction: None - Vulnerable System Impact Metrics: - Confidentiality: None - Integrity: None - Availability: None - Subsequent System Impact Metrics: - Confidentiality: None - Integrity: None - Availability: None CVE ID: CVE-2026-12888 Credits: geo-chen Acknowledgements: 感谢 @geo-chen 的报告。