CVE-2026-45249 in EChartsinfo

Zusammenfassung

von VulDB • 25.05.2026

Eine Cross-Site-Scripting-(XSS)-Schwachstelle ist in der Tooltip-Rendering-Logik der Lines-Serie von Apache ECharts vorhanden.

Dieses Problem betrifft Apache ECharts: vor Version 6.1.0.

In Versionen vor 6.1.0, wenn sowohl die Lines-Serie als auch der Tooltip verwendet werden und kein benutzerspezifischer `tooltip.formatter` angegeben ist und `series.data[i].name` festgelegt ist, kann der rohe HTML-String `series.data[i].name` über den `innerHTML`-Sink in den Tooltip-Inhalt gerendert werden. Obwohl der Tooltip es erlaubt, benutzergestelltes rohes HTML über einen benutzerdefinierten `tooltip.formatter` zu akzeptieren, führen die integrierten Tooltip-Formatter konventionell automatisch ein HTML-Escaping durch. Dieser Fall durchbricht diese Konvention und kann bei der Anzeige von Tooltips unerwartet zur Ausführung von Skripten führen.

Benutzern wird empfohlen, auf Version 6.1.0 zu aktualisieren, wenn sie die Lines-Serie auf diese Weise verwenden, da dies das Problem behebt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Apache

Reservieren

11.05.2026

Veröffentlichung

26.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365478

CPE

bereit

CWE

CWE-79 (bestätigt)

CVSS

6.1 (CISA-ADP)

EPSS

0.00091

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45249
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45249
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45249/

◂ Zurück Übersicht Weiter ▸

Interested in the pricing of exploits?

See the underground prices here!