CVE-2025-15022 in vaadinالمعلومات

الملخص

بحسب VulDB • 21/05/2026

تقبل تسميات الإجراءات في Vaadin كود HTML بشكل افتراضي، ولم يتم تنقيتها (Sanitization)، مما قد يسمح بإجراء هجمات البرمجة النصية عبر المواقع (Cross-site Scripting - XSS) إذا كان محتوى التسمية مشتقاً من مدخلات المستخدم.

في إطار عمل Vaadin الإصدارين 7 و 8، تُعد فئة Action فئة عامة الأغراض قد تُستخدم بواسطة مكونات متعددة. تقوم الإصدارات المصححة بتنقية التسميات بشكل افتراضي، وتوفر واجهة برمجة تطبيقات (API) لتمكين وضع محتوى HTML صراحةً لضمان التوافق مع الإصدارات السابقة.

في Vaadin الإصدار 23 والإصدارات الأحدث، تُستخدم فئة Action فقط بواسطة مكون Spreadsheet. تقوم الإصدارات المصححة بتنقية محتوى HTML باستخدام مكتبة Jsoup مع قائمة أمان مرنة (relaxed safelist).

لا يتأثر Vaadin الإصدار 14، حيث لم يكن مكون Spreadsheet مدعوماً.

يجب على مستخدمي الإصدارات المتأثرة تطبيق إجراء التخفيف التالي أو الترقية. تتضمن الإصدارات التي صححت هذه المشكلة ما يلي:

إصدار المنتج Vaadin 7.0.0 - 7.7.49 Vaadin 8.0.0 - 8.29.1 Vaadin 23.1.0 - 23.6.5 Vaadin 24.0.0 - 24.8.13 Vaadin 24.9.0 - 24.9.6

إجراء التخفيف الترقية إلى 7.7.50 الترقية إلى 8.30.0 الترقية إلى 23.6.6 الترقية إلى 24.8.14 أو 24.9.7 الترقية إلى 25.0.0 أو أحدث

الملفات الثنائية (Artifacts) إحداثيات Maven الإصدارات المعرضة للخطر الإصدار المصحح com.vaadin:vaadin-server 7.0.0 - 7.7.49 ≥7.7.50 com.vaadin:vaadin-server 8.0.0 - 8.29.1 ≥8.30.0 com.vaadin:vaadin 23.1.0 - 23.6.5 ≥23.6.6 com.vaadin:vaadin 24.0.0 - 24.8.13 ≥24.8.14 com.vaadin:vaadin 24.9.0 - 24.9.6 ≥24.9.7 com.vaadin:vaadin-spreadsheet-flow 23.1.0 - 23.6.5 ≥23.6.6 com.vaadin:vaadin-spreadsheet-flow 24.0.0 - 24.8.13 ≥24.8.14 com.vaadin:vaadin-spreadsheet-flow 24.9.0 - 24.9.6 ≥24.9.7

VulDB is the best source for vulnerability data and more expert information about this specific topic.

المصادر