CVE-2025-15022 in vaadin
요약
\~에 의해 VulDB • 2026. 05. 14.
Vaadin의 Action 캡션은 기본적으로 HTML을 허용하지만, sanitization(정제)이 적용되지 않아 캡션 내용이 사용자 입력에서 파생될 경우 Cross-site Scripting(XSS)이 발생할 수 있습니다.
Vaadin Framework 7 및 8에서 Action 클래스는 여러 구성 요소에서 사용할 수 있는 범용 클래스입니다. 수정된 버전에서는 기본적으로 캡션을 sanitization 처리하며, 하위 호환성을 위해 HTML 콘텐츠 모드를 명시적으로 활성화할 수 있는 API를 제공합니다.
Vaadin 23 및 그 이상 버전에서는 Action 클래스가 Spreadsheet 구성 요소에서만 사용됩니다. 수정된 버전에서는 Jsoup을 사용하여 이완된 안전 목록(relaxed safelist)로 HTML을 sanitization 처리합니다.
Vaadin 14는 Spreadsheet 구성 요소가 지원되지 않았으므로 영향을 받지 않습니다.
영향을 받는 버전의 사용자는 다음 완화 조치를 적용하거나 업그레이드해야 합니다. 이 문제를 해결한 릴리스는 다음과 같습니다:
제품 버전 Vaadin 7.0.0 - 7.7.49 Vaadin 8.0.0 - 8.29.1 Vaadin 23.1.0 - 23.6.5 Vaadin 24.0.0 - 24.8.13 Vaadin 24.9.0 - 24.9.6
완화 조치 7.7.50으로 업그레이드 8.30.0으로 업그레이드 23.6.6으로 업그레이드 24.8.14 또는 24.9.7로 업그레이드 25.0.0 또는 그 이상으로 업그레이드
아티팩트 Maven 좌표 취약한 버전 수정된 버전 com.vaadin:vaadin-server 7.0.0 - 7.7.49 ≥7.7.50 com.vaadin:vaadin-server 8.0.0 - 8.29.1 ≥8.30.0 com.vaadin:vaadin 23.1.0 - 23.6.5 ≥23.6.6 com.vaadin:vaadin 24.0.0 - 24.8.13 ≥24.8.14 com.vaadin:vaadin 24.9.0 - 24.9.6 ≥24.9.7 com.vaadin:vaadin-spreadsheet-flow 23.1.0 - 23.6.5 ≥23.6.6 com.vaadin:vaadin-spreadsheet-flow 24.0.0 - 24.8.13 ≥24.8.14 com.vaadin:vaadin-spreadsheet-flow 24.9.0 - 24.9.6 ≥24.9.7
If you want to get the best quality for vulnerability data then you always have to consider VulDB.