CVE-2026-47099
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
Biblioteka TeleJSON przed wersją 6.0.0 zawiera podatność na atak XSS oparty na DOM w funkcji parse(). Atakujący może dostarczyć spreparowany ładunek JSON ze złośliwą wartością właściwości _constructor-name_, która jest przekazywana bezpośrednio do new Function() bez sanityzacji, co umożliwia wykonanie dowolnego kodu JavaScript.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad aplikacją przez atakującego, który może wykonać dowolny skrypt w kontekście ofiary, np. poprzez postMessage w komunikacji międzyramkowej, co może prowadzić do kradzieży danych, sesji lub dalszej eskalacji ataku.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę TeleJSON do wersji 6.0.0 lub nowszej, która zawiera poprawkę eliminującą podatność. Jeśli aktualizacja nie jest możliwa, należy ograniczyć użycie funkcji parse() z niezaufanymi danymi i zastosować dodatkową walidację wejścia.
Oryginalny opis (angielski, źródło NVD)
TeleJSON prior to 6.0.0 contains a DOM-based cross-site scripting vulnerability in the parse() function that allows attackers to execute arbitrary JavaScript by delivering a crafted JSON payload containing a malicious _constructor-name_ property value. The custom reviver passes the constructor name directly to new Function() without sanitization when recreating object prototypes, enabling attackers to inject arbitrary JavaScript through vectors such as postMessage in cross-frame communication contexts to achieve script execution within the application.

