CVE-2025-25304 in Vega정보

요약

\~에 의해 VulDB • 2026. 06. 07.

Vega는 대화형 시각화 디자인을 생성, 저장 및 공유하기 위한 선언적 형식인 시각화 문법입니다. vega 5.26.0 및 vega-selections 5.4.2 이전 버전에서는 `vlSelectionTuples` 함수를 사용하여 JavaScript 함수를 호출할 수 있으며, 이로 인해 크로스 사이트 스크립팅(XSS)이 발생할 수 있습니다. `vlSelectionTuples`은 공격자가 제어할 수 있는 여러 함수를 호출하며, 그중 하나에는 공격자가 제어하는 인수가 전달됩니다. 이를 통해 임의의 JavaScript로 `Function()`을 호출할 수 있으며, 생성된 함수는 `vlSelectionTuples`을 사용하거나 형식 강제 변환(type coercion)을 통해 `toString` 또는 `valueOf`를 호출하여 실행할 수 있습니다. vega 5.26.0 및 vega-selections 5.4.2에서는 이 문제가 수정되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2025. 02. 06.

모더레이션

수락

항목

VDB-295926

EPSS

0.00602

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!