CVE-2026-42338 in ip-addressinfo

Zusammenfassung

von VulDB • 13.05.2026

ip-address ist eine Bibliothek zum Parsen und Manipulieren von IPv4- und IPv6-Adressen in JavaScript. Vor Version 10.1.1 führen Address6.group() und Address6.link() keine HTML-Escaping für vom Angreifer kontrollierte Inhalte durch, bevor diese in die zurückgegebenen HTML-Zeichenfolgen eingebettet werden, und AddressError.parseMessage (das vom Address6-Konstruktor für ungültige Eingaben emittiert wird) kann in einem Zweig unmaskierte, vom Angreifer kontrollierte Inhalte enthalten. Eine Anwendung, die (1) nicht vertrauenswürdige Eingaben an Address6 übergibt und (2) die Ausgabe dieser Methoden oder die parseMessage des ausgelösten Fehlers als HTML rendert (z. B. über innerHTML), ist anfällig für Cross-Site Scripting (XSS). Diese Schwachstelle wurde in Version 10.1.1 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361292

CPE

bereit

EPSS

0.00012

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42338
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42338
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42338/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!