Katalog CVE

CVE-2026-47099

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Biblioteka TeleJSON przed wersją 6.0.0 zawiera podatność na atak XSS oparty na DOM w funkcji parse(). Atakujący może dostarczyć spreparowany ładunek JSON ze złośliwą wartością właściwości _constructor-name_, która jest przekazywana bezpośrednio do new Function() bez sanityzacji, co umożliwia wykonanie dowolnego kodu JavaScript.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia kontroli nad aplikacją przez atakującego, który może wykonać dowolny skrypt w kontekście ofiary, np. poprzez postMessage w komunikacji międzyramkowej, co może prowadzić do kradzieży danych, sesji lub dalszej eskalacji ataku.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę TeleJSON do wersji 6.0.0 lub nowszej, która zawiera poprawkę eliminującą podatność. Jeśli aktualizacja nie jest możliwa, należy ograniczyć użycie funkcji parse() z niezaufanymi danymi i zastosować dodatkową walidację wejścia.

Oryginalny opis (angielski, źródło NVD)

TeleJSON prior to 6.0.0 contains a DOM-based cross-site scripting vulnerability in the parse() function that allows attackers to execute arbitrary JavaScript by delivering a crafted JSON payload containing a malicious _constructor-name_ property value. The custom reviver passes the constructor name directly to new Function() without sanitization when recreating object prototypes, enabling attackers to inject arbitrary JavaScript through vectors such as postMessage in cross-frame communication contexts to achieve script execution within the application.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS